ウクライナへのワイパー攻撃に関与したとされる新たなロシアAPTをマイクロソフトが特定 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > ウクライナへのワイパー攻撃に関与したとされる新たなロシアAPTをマイクロソフトが特定

Threat Report

Silobreaker-RussiaUkraineAlert

ウクライナへのワイパー攻撃に関与したとされる新たなロシアAPTをマイクロソフトが特定

佐々山 Tacos

佐々山 Tacos

2023.06.15

ウクライナへのワイパー攻撃に関与したとされる新たなロシアAPTグループをマイクロソフトが特定

ロシアGRU関連の新たなAPTグループ「Cadet Blizzard」が、ワイパー「WhisperGate」による攻撃に関与か

マイクロソフトは、侵攻開始1か月前の2022年1月に始まったウクライナ組織に対するワイパーマルウェア「WhisperGate」を用いた攻撃に、ロシア連邦軍参謀本部情報総局(GRU)関連の新たなハッキンググループ「Cadet Blizzard」が関与していたとの見解を示した。

WhisperGateとはマスターブートレコード(MBR)をワイプするという破壊的性能を持つマルウェアで、Cadet Blizzardがこれを作成・展開していたという。

同グループは、これらのワイパー攻撃群と同時期に行われたウクライナ政府関連Webサイトの改ざんキャンペーンや、複数のハック・アンド・リーク攻撃にも関わっていたとされる。

Cadet Blizzardは2020年から活動か

ロシアGRUとのつながりが指摘されるハッキンググループといえばSandworm(Seashell Blizzard/IRIDIUM)やAPT28(Fancy Bear/Forest Blizzard/STRONTIUM)などがよく知られているが、Cadet Blizzardはこれらとはまた別のグループであり、攻撃の成功率もSandwormやAPT28などと比べると劣るのだという。

その活動は2020年に始まったと考えられており、主にウクライナの政府サービス、法執行機関、NPOやNGO、ITサービスプロバイダー/コンサル事業者、緊急サービスを標的としてきたとされる。これに加え、ヨーロッパやラテンアメリカの組織を狙うこともあった。

2022年6月以降の小休止を経て、2023年2月に再浮上

2022年のワイパー攻撃キャンペーンののち、Cadet Blizzardの活動は2022年6月以降観測されなくなったものの、2023年初頭に再浮上し、ウクライナ政府関連の組織やITプロバイダーを狙って数々の攻撃を行ってきたとされている。

マイクロソフトが同グループによるものと指摘した攻撃の中には、2023年2月に発覚した複数の政府Webサイトにおける侵害が含まれる。これは、2021年12月に埋め込まれていたバックドアなどを用いたロシアアクターにより、Webページの一部コンテンツが改ざんされたインシデント。当時ウクライナのCERT-UAは、この攻撃を「Ember Bear」(UAC-0056/Lorec53)によるものだと結論づけていた。

APTグループの名称、混同にはご注意を

脅威アクターやハッキンググループなどは(特に国家との関連が指摘されるAPTグループは)、セキュリティ企業やベンダーによって異なる名称で追跡されることがあるため、どれがどのグループなのかがわかりにくい場合がある。特にマイクロソフトは今年4月に脅威アクターの命名規則を変更し、気象現象名に基づく命名法を使用し始めた。このため、それまで用いられていた化学元素名にちなんだアクター名に慣れていた場合は特に名称のややこしさに辟易するかもしれないが、今回のようなAPTグループ関連のニュースを追っていく上では、混同を避けるためにアクター名を整理しておくと便利だろう。

(情報源:Information Security Media Group “Microsoft Links 2022 WhisperGate Kyiv Attacks to Russia”、SecurityWeek “Microsoft Outs New Russian APT Linked to Wiper Attacks in Ukraine”、BleepingComputer ”Microsoft links data wiping attacks to new Russian GRU hacking group”)

6月15日:その他のロシア・ウクライナ関連ニュース

ウクライナの公共放送局のWebサイトが、ロシアによるサイバー攻撃を受ける

Ukrinform News – Jun 15 2023 04:44

ロシアのハッカーグループSolntsepyokが、ウクライナの公共放送局UA:PBCのWebサイトへの攻撃について犯行声明を出したと、同放送局のプレスサービスUkrinformが発表した。この攻撃により、同Webサイトの一部が一時的に停止しているが、すべてのSuspilne Newsプラットフォーム(特にサイトsuspilne.media)は中断することなく機能している模様。このように、ウクライナは最近も数々のサイバー攻撃の標的となっている。同国の国家特別通信情報保護局の報道官が過去に語ったところによると、ロシアはサイバー空間でも通常の戦場で用いているものと同じ戦術を適用し、民間のインフラを攻撃しようとしているとのこと。

ドイツの新たな国家安全保障戦略に関する文書は、ロシアと中国に焦点を当てた内容

EuroNews – Jun 15 2023 02:22

ドイツ政府は、水曜日(14日)に初の包括的な国家安全保障戦略を発表した際、ロシアが「予見可能な将来にわたって」安全保障上の最大の脅威となると述べ、中国に対してバランスの取れたアプローチをとることを提唱した。戦略文書には中国について、「さまざまな方法で既存のルールに基づく国際秩序を再構築しようとしており、これまで以上に強力に地域的な支配的地位を主張し、我々の利益や価値観に反する行動を何度も繰り返している」と記されていた。ドイツ政府は、中国への依存が原因で脆弱になっている自国の分野を綿密に調査するとし、これらの分野で物資の調達先の多様化を積極的に進めようとしている模様。また、ハイブリッドな脅威(偽情報、サイバー攻撃、経済的圧力など)に対抗するドイツの能力を高めるための戦略も策定するとしており、これには諜報機関の分析能力の強化が含まれる。しかし、米国や英国のもののような国家安全保障会議の設立は見送られた。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ