イスラエルのセキュリティ企業による新たな調査によると、同国の情報機関のために活動するイランのハッカーたちが、ロサンゼルス郡都市圏交通局(LACMTA)への3月の侵害の背後にいるという。
そのハッキンググループは独立したハクティビスト集団を自称していたが、実際にはイラン・イスラム共和国情報省(MOIS)と繋がりを持っているとGambit Securityの研究者たちが火曜日に公開した報告書で述べた。
このハッキンググループは、175人以上の教師と子供たちが殺害されたイランの都市にちなんで「Ababil of Minab」と名乗った。同グループはLACMTAへの侵害をいち早く犯行声明として主張し、交通システムのデータを窃取しインフラを破壊したと述べた。
Gambitの研究者たちは、Ababil of MinabをMOISに結びつける調査結果が、同グループをイラン支援による過去のハッキング活動と関連付けるフォレンジック証拠に基づいていると述べた。その活動にはイスラエル国家サイバー局がイランの情報機関に帰属させたものも含まれる。また研究者たちはカスタムの情報窃取ツールも発見したと報告書は述べた。
「破壊が発生した箇所では、仮想化・ストレージ・バックアップインフラにまたがる複数の手法を組み合わせることで、復旧を不可能にするプレイブックが使用されていた」と報告書は述べている。
ハッカーたちはスクリプトを使った自動処理と「ハンズオン・キーボード操作」の両方によって、データベース、仮想マシン、「ストレージボリューム」を消去したと報告書は述べた。
研究者たちはハッカーによってデータを窃取されたものの破壊はされていない追加の被害者を発見した。その中にはメディア部門のイスラエルの組織、イスラエルの大学、トルコの保険ブローカー、そして「飲食、文化、デジタルサービス、ニュース分野にまたがる複数の追加ウェブサイト」が含まれると報告書は述べている。サウジアラビアの組織もこのグループにハッキングされたと報告書は述べた。
Gambitの調査結果を最初に報道したのはロイター通信だった。
この一連の攻撃は、MOISへの帰属だけでなく、その速度においても特筆すべきものがあると報告書は述べた。
「現代の侵入オペレーターは初期アクセスから直接、復旧レイヤーである仮想化・バックアップ・ストレージボリュームへと移行し、破壊を最大化して修復を不可能にしようとしている」と報告書は述べている。「それを大規模に実行するために必要なスキルは、並行して低下しつつある。」
「AIの能力が広く利用可能になれば、熟練した行為者であろうとなかろうと、誰でもこの種の攻撃を実行できるようになるだろう。」
Ababil of MinabはMOIS系グループとしてハクティビストを自称した最初の例ではない。
3月に医療機器メーカーのStrykerに対して壊滅的なサイバー攻撃が発生した後、Handalaと呼ばれるグループが犯行声明を出した。Handalaは自らを独立した親パレスチナのハクティビスト集団として描いているが、専門家や司法省はこのグループがMOISによって支援されていると述べている。
Strykerへの攻撃は、同メーカーの従業員端末とシステムを消去することで会社に壊滅的な打撃を与えた。
翻訳元: https://therecord.media/iranian-intelligence-behind-hack-of-la-transit-system
