著名な研究者でロシアの軍事専門家であるキア・ジャイルズを標的とするハッカーは、今回は異なっていました。
ロシア政府のために働いていると疑われる攻撃者は、state.govのアドレスを使って5月の相談メールを作成し、ジャイルズが返信した際にバウンスバックメッセージが返ってこないようにしていました。彼らは説得力のある英語を話し、東海岸のビジネス時間内にメッセージを届けました。彼は、ランダムな文字列を使うのではなく、リアルなドメイン名を作成して彼を誘導したと述べています。彼らは通常のハッカーのように急いで彼に返信を迫ることはありませんでした。
「これまでに彼らが私を攻撃したどの時とも異なり、彼らがどこかで間違いを犯し、あり得ないことをしたというのを実際に見たことがありません」と、英国のシンクタンクであるチャタムハウスのロシア・ユーラシアプログラムのシニアコンサルティングフェローでもあるジャイルズはCyberScoopに語りました。「最初から最後まで完全に真っ直ぐで非常によく構築されていました。」
トロント大学のCitizen Labが水曜日に発表した報告書では、ジャイルズを標的とした「高度に洗練された攻撃」と呼ばれるものが、最も評価の高いサイバー防御ツールの一つである多要素認証(MFA)を回避するためにハッカーが使用した「新しい方法」についても詳述されています。
Citizen Labがジャイルズに何が起こったかの法医学的分析を公開している一方で、Googleの脅威インテリジェンスグループも、ジャイルズのアカウントの妥協の背後にいる人物と、彼がその特定の技術的攻撃方法で標的にされた唯一の人物ではないことについて関連するブログ投稿を公開しています。
ジャイルズは週末にLinkedInの投稿で、彼のアカウントを侵害した国務省のなりすましについて警告し、「詳細については後ほど」と約束しました。
「どのように」は、彼とCitizen Labが明らかにした信頼性のあるソーシャルエンジニアリングの側面を含んでいました。技術的な側面では、最終段階でジャイルズにアプリ固有のパスワード(ASP)のスクリーンショットを作成し共有するように説得することでした。ASPは、MFAをサポートしないユーザーのアカウントに第三者がアクセスするためのツールとして使用されます。ASPは第三者を使用する際の利便性とセキュリティの補助として意図されていますが、この場合、ハッカーはそれを利用してジャイルズのGoogleアカウントを侵害しました。
Googleは何が起こっているかを察知し、ジャイルズにセキュリティアラートを送り、彼のアカウントをロックしました。
「誰かにパスワードを渡させるだけの日々は終わりました」と、Citizen Labのシニアリサーチャーであるジョン・スコット=レイルトンはCyberScoopに語りました。「企業はハッキングの検出に賢くなり、多要素認証のような多くの新しいセキュリティ機能をユーザーに提供しています。ユーザーもまた、クラシックなフィッシングがどのように見えるかを賢くなっています。
「したがって、より洗練されたハッキンググループは常に革新し、アカウントにアクセスするための新しい技術的および心理的トリックを見つけようとしています」と彼は続けました。「これは、トークンやアプリ固有のパスワードなど、他の方法を探っていることも意味します。」
Googleの脅威インテリジェンスグループ(GTIG)の評価によれば、このケースのハッカーは、APT29、Cozy Bear、またはICECAPとして知られるロシアの対外情報庁に関連するユニットと潜在的に関連しているとされています。ジャイルズへの攻撃は、GTIGの研究者が4月から今月初めにかけて学者やロシア批評家に対して見たASPベースの攻撃の唯一のものではありませんが、正確な数を示すことはできませんでした。
しかし、それは「広範ではない」と、GTIGのセキュリティエンジニアであるウェスリー・シールズは述べました。このプロセスは非常に時間がかかるため、大規模に繰り返すのは難しいと、シールズとGTIGのロシアおよび東ヨーロッパの技術リードであるガブリエラ・ロンコーネは述べました。
「通常、APT29またはICECAPは、より大きな外交組織、NGO、つまり企業や大規模な組織を狙っています」とロンコーネは述べました。「しかし、このケースでは、個人のみが標的にされており、それだけでなく、非常に特定の忍耐強い方法で標的にされています。」
その忍耐力は、スコット=レイルトンにとっても際立った特徴でした。
「この攻撃で私が感銘を受けたのは、攻撃者がどれほど忍耐強く、数週間にわたってゆっくりと欺瞞を展開したかです。まるで彼らがロシアのハッカーから期待されることをすべて知っていて、それとは逆のことをしたかのようです」とスコット=レイルトンは述べました。
その欺瞞には多くの努力と知識が必要でした。例えば、攻撃者は国務省のメールサーバーがすべてのメッセージを受け入れるように設定されており、存在しないアドレスに対してバウンスバックメッセージを送信しないことを知っていた可能性が高いと、Citizen Labの報告書は述べています。メールの本物のような英語は、大規模な言語モデルを使用して改善された可能性があります。
「それには何かがあり、しばしば起こるように、スパイダーマンの感覚を刺激するようなものはありませんでした」とジャイルズは述べました。「それは完全に欠けていました。」
ジャイルズは、ハッカーが取得した情報の漏洩が、偽のデータと改ざんされたデータの混合で、今後予想されると推測しています。彼は、もし彼らの目的がスパイ活動であったなら、「彼らは非常に早く非常に失望しただろう」と冗談を言いました。彼はソーシャルメディアでそれについて投稿した後でも、攻撃者から「技術的な問題を訴え、『もう少しお待ちください』と言っている」アカウントから連絡を受け続けていました。
ジャイルズは、ASPのリスクについてGoogleから警告を受けなかったことに苛立ちを感じており、Google Workspaceが有料サービスであるため、アカウントを閉鎖しセキュリティ違反のために閉鎖されたと言うのではなく、会社から説明やサポートを受けられると思っていました。
Googleのブログ投稿では、ASPに関する警告を送信していると述べています。また、ハッキングのリスクが高いユーザーに対して、ASPの使用を禁止するAdvanced Protection Programに登録することを奨励しています。
スコット=レイルトンは、この種の攻撃の「ゼロ患者」となる可能性のあるジャイルズが、それについて声を上げたことを称賛しました。
ジャイルズは、被害を受けたことについて「かなりリラックスしている」と述べました。
「誰も無敵ではなく、彼らが非常に長い間非常に努力していたので、最終的には突破される運命にありました」と彼は言いました。
昨年のサイバー攻撃のラウンド中に、ジャイルズは「本当にイライラしたことの一つは、感染していて彼らのアカウントが私を標的にするために利用されていた人々が、あまりにも恥ずかしくて話すことを拒んでいたことです…彼らは本当にこの種のことに対してできることを制限しました。
「だから、彼らが私を出し抜くのに成功した方法を隠すつもりはありません」と彼は言いました。「もし彼らが私にこれほどの努力を費やしているなら、その結果として他のより重要な標的が少し注意を払われているのかもしれません。それはそれほど悪いことではありません。」