連邦検察当局は今週、連邦裁判所に提出された訴状によると、ロシア寄りの脅威グループ「Void Blizzard」に関連する大規模なサイバースパイキャンペーンに絡み、ロシア国籍の男を不正コンピューターアクセスの共謀罪で起訴しました。
火曜日に封印が解かれたFBIの宣誓供述書によると、ロシア国籍のデニス・ニコラエヴィチ・オブレズコ容疑者は、米国内外の企業が所有するシステムへの侵入を行ったとして訴追されています。捜査当局は、同容疑者が企業・教育機関・その他の組織を標的とした攻撃で使用された仮想プライベートサーバーとドメイン名を購入し、キャンペーンを支援したと主張しています。
今回の起訴は、MicrosoftがVoid Blizzard(同社では「Laundry Bear」としても追跡)をNATO加盟国やウクライナなどの政府機関・防衛関連企業・重要インフラ事業者に対して大規模なスパイ活動を展開するロシアの国家支援型脅威グループと公式に認定してから、およそ1年後のことです。オランダの情報機関およびセキュリティ機関は2025年5月、同グループが2024年9月にオランダ国家警察に侵入し、警察職員の業務用連絡先情報を窃取したことを別途確認しています。
FBIの宣誓供述書は、組織的ではあるものの技術的には洗練されていない手口を描写しています。捜査当局によると、Void Blizzardは主に盗み出したセッショントークンを使用して被害者アカウントへの認証を行い、再認証の要求を回避していました。また、接続元の所在を隠すために米国内の商用プロキシサービスを利用していました。同グループは通常、VPNを経由してトラフィックをルーティングした後、標的と同じ地域のプロキシIPアドレスを選択することで、地理的なファイアウォール制限を回避していました。
2024年6月から7月にかけて、FBIは海外パートナーおよび米国内の民間企業から、この新興グループに標的とされている米国企業複数社に関する情報提供を受けました。その後、捜査当局は米国内11社への侵入を確認しましたが、宣誓供述書はこの数字が全国の被害者総数のほんの一部にすぎない可能性が高いと指摘しています。
Void Blizzardの手口は技術的に高度ではないものの、広範囲にわたる効果を上げています。Microsoftの研究者は2025年に、同グループの成功事例は基本的な侵入技術であっても大規模に展開すれば持続的なリスクをもたらすことを示していると指摘しました。同グループは、侵害したクラウド環境からメールやファイルを大量に収集し、Microsoft Teamsの会話にアクセスし、Microsoft Entra IDの設定を記録して組織構造をマッピングする行動が確認されています。
2025年4月、MicrosoftはVoid Blizzardによるものとされる別のスピアフィッシングキャンペーンを特定しました。このキャンペーンは欧州と米国の20以上の非政府組織を標的とし、タイポスクワッティングドメインを使用してMicrosoftの認証ページを偽装していました。宣誓供述書はこの活動を裏付けており、同グループが使用するインフラに接続されたアカウントを通じて登録されたmiscrsosoft[.]comやmicsrosoftonline[.]comといったドメインを特定しています。
オブレズコ容疑者は火曜日に出廷し、裁判を待つ間の拘置所への収容に同意しました。
宣誓供述書は以下でご覧いただけます。
翻訳元: https://cyberscoop.com/russian-national-charged-void-blizzard-cyber-espionage/
