- Malanta.aiが、インドネシアで14年間にわたり稼働していたサイバー犯罪インフラを発見。国家支援型作戦に類似
- ネットワークは32万以上のドメイン、乗っ取られた政府系サブドメイン、数千のマルウェア搭載Androidアプリにまたがる
- キャンペーンは5万件超のギャンブル関連認証情報を窃取し、C2にAWSとFirebaseを利用したことで、国家関与の疑いが浮上
セキュリティ研究者らは、インドネシアで14年以上にわたり妨げられることなく稼働していた巨大なサイバー犯罪インフラを突き止めた。
作戦の期間、関与したドメイン、流通したマルウェア、闇市場で販売されていたデータはいずれもあまりに規模が大きく、調査を行ったMalanta.aiは、このキャンペーンは「単純な」サイバー犯罪者によるものというより、国家レベルのキャンペーンに近いと述べている。
「単純なギャンブルサイトとして始まったものが、ウェブ、クラウド、モバイル全体にまたがる、グローバルで資金力があり、高度で、国家支援レベルの攻撃インフラへと進化しました」とMalantaは最近公開したブログで述べている。
政府は関与しているのか?
報告書によると、このオペレーションは少なくとも2011年から活動していた。運営者らは32万以上のドメインを掌握しており、そのうち9万以上はハッキングやハイジャックによって乗っ取られたものだった。また、1,400以上の侵害されたサブドメインと23万6,000の購入ドメインも管理しており、いずれもユーザーを違法なギャンブルプラットフォームへリダイレクトするために使われていた。
さらに悪いことに、侵害されたサブドメインの一部は政府や企業のサーバー上にあった。場合によっては、脅威アクターがNGINXベースのリバースプロキシを展開し、正規の政府ドメイン名上でTLS接続を終了させることで、C2トラフィックを正規の政府通信に偽装していた。
さらにマルウェアのエコシステムも存在する。研究者らは「数千」の悪意あるAndroidアプリを発見しており、それらはパブリックインフラ(Amazon Web ServicesのS3バケット)を通じて配布されていた。
これらのアプリはドロッパーとして機能し、正規のギャンブルプラットフォームを装いながら、バックグラウンドで侵害されたデバイスへのフルアクセスを許すマルウェアを展開していた。バックドアは、別のパブリックインフラであるGoogleのFirebase Cloud Messagingサービスから直接コマンドを受け取っていた。
その結果、ギャンブルプラットフォームから5万件以上のログイン認証情報が盗まれ、数え切れないほど多くのAndroidデバイスが感染し、ハイジャックされたサブドメインがダークウェブ上で流通する事態となった。
「もしこのエコシステムが単なるサイバー犯罪ではないとしたら?」と研究者らは推測している。
通常、このインフラの範囲、規模、そして資金的な裏付けは、国家支援型の脅威アクターに一般的に関連付けられる能力と、はるかに強く一致している。
