C2P:サイバー攻撃エコシステムを支える新たなキープレイヤー
ランサムウェアアクターや国家支援型APTハッカー、スパイウェアベンダーなどが用いるサイバー攻撃インフラが、イランのクラウド企業「Cloudzy」によって提供されていることがHalcyonの調査で明らかになった。Halcyonによれば、Cloudzyのようなコマンド・アンド・コントロールプロバイダー(C2P)はこれまであまり注目されていなかったものの、実はグローバルなサイバー攻撃エコシステムを支える重要な柱の1つであり、ランサムウェアエコノミーにおけるキープレイヤーなのだという。
イラン企業CloudzyはランサムウェアグループやAPTアクターにインフラサービスを提供か
Cloudzyは、表向きには米国を拠点にインターネットサービスを提供するプロバイダーを名乗っており、2008年の設立以来、正当な事業を営んでいるように見える。しかしHalcyonによれば、実際にはCloudzyの拠点はイランのテヘランにあり、同社のサービスの多くが悪意ある活動のために使用されているのだという。また、Halcyonの研究者が調査のため実際にCloudzyのサービスの購入を試みたところ、求められたのはEメールと暗号資産アドレスのみだったことから、安くかつ容易に購入でき、匿名性も高いことが明らかになっている。
Cloudzyは、以下のような顧客にリモートデスクトップ(RDP)や仮想プライベートサーバー(VPS)などのサービスを提供し、見返りとして暗号資産による報酬を得る「C2P」(コマンド・アンド・コントロールプロバイダー)であるとされる。
・ランサムウェア関連アクター(BlackBasta、Royal、Ryuk、Black Cat)
・中国関連APT(APT10、Dragon Castlingなど)
・インド関連APT(Sidewinder、Bitter)
・イラン関連APT(APT34、APT33)
・北朝鮮関連APT(Kimsuky、Konni)
・パキスタン関連APT(TransparentTribe)
・ロシア関連APT(Nobelium、Turla)
・ベトナム関連APT(APT32)
・イスラエルのスパイウェアベンダーCandiru
これを踏まえHalcyonは、こちらのレポート内で列挙されているCloudzy関連のIPアドレスに警戒することを組織のサイバー防衛担当者に推奨している。
Cloudzy側は悪事への関与を否定
Halcyonの推定では、現在Cloudzyによってホストされている全サーバーの40~60%が、悪意ある活動を直接サポートしているとみられるという。しかしCloudzyの創設者であるNozari氏は、ロイター通信の取材に対し、悪意ある活動に関与している顧客は推定2%しかいないと語った。同氏が主張したところによれば、Cloudzy社ではサイバー犯罪者らを排除するためにベストを尽くしているのだという。
C2Pはサイバー攻撃の世界で重要な一翼を担う存在?
CloudzyのようなC2Pが提供するサービスは、多くの攻撃者にとって無くてはならない重要なものだとHalcyonは指摘する。というのも、こうしたサービスが存在しない場合、攻撃者は自ら攻撃インフラを立ち上げて維持するために多大な労力をかけねばならなくなる上、その過程で研究者などから特定される確率も高まるであろうことが予想されるからだ。
またこれまでのサイバー犯罪エコシステム、特にRaaS(ランサムウェア・アズ・ア・サービス)エコシステムの内訳は主に「RaaS運営者」、「アフィリエイト」、「初期アクセスブローカー」の3種のカテゴリで語られることが多かったが、Halcyonはここへ新たに「C2P」もキープレイヤーとして加えることを提唱している。
(情報源:The Record “Iranian cloud company accused of hosting cybercriminals, nation-state hackers”、Halcyon “Cloudzy with a Chance of Ransomware”)