ロシアと連携する脅威グループである「Winter Vivern」が、2020年10月にヨーロッパ全域のRoundcubeウェブメールサーバーに存在するクロスサイトスクリプティング(XSS)の脆弱性を悪用していたことが判明しました。このグループによる攻撃の被害者が明らかにされています。
Recorded FutureのInsikt Groupが公開した報告書によると、このグループはジョージア、ポーランド、ウクライナの政府、軍事施設、国家インフラを主な標的としていました。
さらに、報告書はイランのモスクワ大使館、オランダのイラン大使館、スウェーデンのジョージア大使館など、他の標的も指摘しています。
APT(InsiktはTAG-70、またはTA473、UAC-0114とも呼ばれる)は、輸送や教育セクター、化学および生物学研究機関を含む少なくとも80の異なる組織にわたる標的のメールサーバーに不正アクセスを得るために、Roundcubeのゼロデイエクスプロイトを使用しました。
このキャンペーンは、ヨーロッパの政治および軍事情報を収集し、戦略的優位を得るか、ヨーロッパの安全保障と同盟を損なうことを目的として展開されたと考えられています。
このグループは、ベラルーシとロシアの利益に仕えるサイバースパイ活動を行っており、少なくとも2020年12月から活動しているとされています。
Winter Vivernのサイバースパイ活動の地政学的動機
2023年2月にInsikt Groupが報告したウズベキスタン政府のメールサーバーに対する以前の活動と、10月のキャンペーンが関連しています。
ウクライナへの標的化の明確な動機は、ロシアとの紛争です。
「ウクライナで進行中の戦争の文脈では、侵害されたメールサーバーは、ウクライナの戦争努力と計画、パートナー国との関係および交渉、追加の軍事および経済支援を求める際に、ウクライナ政府と非公式に協力している第三者を露呈し、ウクライナを支持する連合内の亀裂を明らかにする可能性があります」とInsiktの報告書は指摘しています。
一方、ロシアとオランダのイラン大使館への焦点は、ウクライナの紛争でロシアを支援しているイランの継続的な外交関与と外交政策の位置を評価する動機に関連している可能性があります。
同様に、スウェーデンのジョージア大使館とジョージア国防省を標的としたスパイ活動は、特にジョージアが2022年初頭のロシアのウクライナ侵攻の後、欧州連合への加盟とNATO加盟を再び追求していることから、同様の外交政策に基づく目的から生じる可能性があります。
ウクライナの戦争の文脈に基づいて、物流および輸送産業に関わる組織も注目すべき標的であり、両側が戦闘能力を維持するためには堅牢な物流ネットワークが重要であることを示しています。
サイバースパイ活動の防御は困難
サイバースパイ活動のキャンペーンは増加しています。今月初め、洗練されたロシアのAPTがウクライナ軍に対して標的を絞ったPowerShell攻撃キャンペーンを開始しました。また、別のロシアのAPT、Turlaは、新しいバックドアマルウェアを使用してポーランドのNGOを標的にしました。
ウクライナも自身のサイバー攻撃をロシアに対して開始しました。これは、キエフスター携帯電話オペレーターへのロシア支援の侵害への報復として、1月にモスクワのインターネットサービスプロバイダーM9 Telecomのサーバーを標的にしました。
しかし、Insikt Groupの報告書は、特にゼロデイ脆弱性の悪用の場合のように、これらの攻撃に対する防御は困難であると指摘しています。
それでも、組織は、特に機密情報の送信には安全な通信手段の代替を検討することで、妥協の影響を軽減することができます。
また、すべてのサーバーとソフトウェアをパッチ適用し、最新の状態に保つこと、信頼できる連絡先からのメールのみを開くことが重要です。
組織はまた、良好な衛生管理を実践し、データ保持を減らすことで、メールサーバーに保存される機密情報の量を制限し、可能な限りより安全な高度なシステムで機密情報と会話を制限するべきです。
報告書はまた、TAG-70などのAPTアクターによって悪用された脆弱性の責任ある開示が、いくつかの理由で重要であることを指摘しています。
Recorded FutureのInsikt Groupの脅威インテリジェンスアナリストは、このアプローチにより、脆弱性が迅速にパッチ適用され、修正され、他の人が発見して悪用する前に、洗練された攻撃者によるエクスプロイトの封じ込めが可能になり、より広範かつ迅速な被害を防ぐことができるとメールで説明しました。
「最終的に、このアプローチは直接的なリスクに対処し、長期的なグローバルなサイバーセキュリティ慣行の改善を促進します」とアナリストは説明しました。