米国政府は、ロシアの情報機関に関連する2つの脅威アクターに関与する個人の情報提供に対し、最大1,000万ドルの懸賞金を提供しています。
UNC5792およびUNC4221として公式に追跡されているこれらのサイバーグループは、現職および元職の米国政府高官・軍幹部、同盟国の関係者、ジャーナリスト、政治家、そしてウクライナに在籍する主要な官僚を標的にしてきました。
CISAとFBIが3月に発した警告によると、これらの脅威アクターは商業用メッセージングアプリ(CMA)を標的としたフィッシングキャンペーンを展開しています。
ハッカーたちはCMAの自動サポートアカウントを装い、被害者にリンクのクリックや確認コードの共有を促すことで、SignalやWhatsAppといったメッセージングプラットフォームのアカウントを乗っ取ろうとしています。
最新の情報として、CISAとFBIは警告を発し、攻撃者が戦術を刷新し、プライベートメッセージやグループメッセージを含む過去の会話へのアクセスを目的に、被害者のバックアップリカバリーキーまでも要求するようになったと明らかにしました。
「被害者が誤ってバックアップリカバリーキーを共有してしまった場合、同じ電話番号を使って侵害後に新しいアカウントを作成しても、そのキーは引き続き有効です。そのため、攻撃者は入手したキーを使って将来的に新しいアカウントを乗っ取る可能性があります」と、同警告は記しています。
侵害されたアカウントからハッカーを排除するには、ユーザーが新しいバックアップリカバリーキーを生成し、従来のキーを無効化する必要があります。
「ただし、これによって攻撃者が元のアカウントのバックアップをすでにダウンロードしていた場合、その事実を取り消すことはできません」とCISAとFBIは警告しています。
両機関によると、UNC5792とUNC4221はロシア情報機関(RIS)と関連しています。「Rewards for Justice」ポータルでは、米国政府がUNC5792をロシア連邦保安局(FSB)の国境警備隊と、UNC4221をロシア軍と結びつけています。
「これらの悪意あるサイバーアクターはソーシャルエンジニアリング技術を駆使し、セキュアなメッセージングアプリの正規のデバイス連携機能を悪用することで、機密性の高い政府の通信、連絡先リスト、グループ会話への不正アクセスを図っています」と米国は指摘しています。
脅威アクターは侵害したアカウントを悪用し、他の重要人物へのフィッシング攻撃を仕掛けています。また一部のケースでは、「グループ招待」ページを改ざんし、攻撃者が制御するデバイスを被害者のSignalアカウントに接続させるという手口も確認されています。
米国は、UNC5792の関係者の特定につながる情報(氏名、所在地、経歴など)の提供に対し、最大1,000万ドルの懸賞金を支払う用意があります。
また、脅威アクターとRISとの関係、支援組織、インフラやツール、資金源、さらには銀行口座、暗号資産ウォレット、取引を含む金融ネットワークに関する情報も求めています。
