連邦捜査局(FBI)、サイバーセキュリティ・インフラセキュリティ庁(CISA)、国家安全保障局(NSA)、および欧州サイバー犯罪センター(EC3)を含む国際的なパートナーは、親ロシア系ハクティビストグループの活動激化について詳細に記した共同サイバーセキュリティ勧告を発表しました。
この新たな勧告は、親ロシア系ハクティビストが、米国、欧州、そして世界各国の重要インフラ分野における運用技術(OT)および産業制御システム(ICS)を標的とする戦術の変化を強調しています。
作成組織は、これらの親ロシア系グループによる攻撃は、高度持続的脅威(APT)アクターほど洗練されてはいないものの、依然として重大なリスクをもたらしていると評価しています。
長期的なスパイ活動能力の獲得を狙う国家支援のAPTとは異なり、これらのハクティビストは機会主義的な標的選定手法を用いています。
最低限のセキュリティしか施されていない、インターネットに公開されたVirtual Network Computing(VNC)接続を悪用し、OT制御デバイスに侵入します。
この勧告は、これらのグループが広く普及しているアクセス可能なVNCデバイスを悪用し、限定的な物理的被害を含む、影響の度合いがさまざまな攻撃を実行していると警告しています。
主な標的には、水道・廃水処理システム、食料・農業、エネルギー分野が含まれます。
観測された多くのインシデントは、注目を集めるための「ハック&リーク」作戦やウェブ改ざんを伴いますが、人間・機械インターフェース(HMI)の操作により、運用上の混乱が引き起こされています。
ロシア系ハクティビストグループのプロファイル
この勧告では、これらのインシデントに関与する複数の主要グループを特定しており、彼らは独立したハクティビストを自称しているものの、多くがロシア国家と直接的または間接的なつながりを持っていると指摘しています。
脅威グループ起源・関係性主な特徴
| 脅威グループ | 起源・関係性 | 主な特徴 |
|---|---|---|
| Cyber Army of Russia Reborn(CARR) | GRU第74455部隊(Sandworm)と関連。2022年初頭から活動。 | 当初はDDoSに注力していたが、2023年末からICS/OT攻撃に拡大。米国および欧州の公益事業への侵入が記録されている。 |
| NoName057(16) | クレムリンと関係する「若者環境の研究・ネットワーク監視センター(CISM)」によって設立。 | 独自のDDoSツールDDoSiaを使用。NATO加盟国を主な標的とし、CARRと緊密に連携。 |
| Z-Pentest | 2024年9月、CARRおよびNoName057(16)の管理者によって結成。 | OT侵入作戦および「ハック&リーク」キャンペーンを専門とする。DDoSは避け、HMI侵入の主張を重視。 |
| Sector16 | 2025年1月、Z-Pentestの協力を通じて結成された新興グループ。 | 米国エネルギーインフラ侵害の動画を共有する未熟なグループ。間接的な国家支援を受けている可能性が高い。 |
技術的分析と緩和策
勧告で示された技術的分析によると、これらのグループは主に、洗練されていない手法を用いてアクセスを獲得しています。
脅威アクターはオープンソースのスキャナーを使用し、デフォルトポート(TCP 5900)またはその近傍のポート範囲(5901〜5910)で公開されたVNCサービスを持つIPアドレスを特定します。
標的が特定されると、ブルートフォースによるパスワードスプレー攻撃を行い、脆弱な認証を突破します。
HMIへのアクセスを獲得すると、攻撃者はグラフィカルユーザーインターフェース(GUI)を操作して設定を変更し、アラームを無効化したり、デバイスのパラメータを変更したりします。
いくつかの事例では、これらのグループは侵入の様子を画面録画で記録し、親ロシア的な主張を拡散するためにソーシャルメディアチャンネルで共有しています。
CISAおよびそのパートナーは、重要インフラ組織に対し、即時の緩和策の実施を強く求めています。
主な推奨事項には、OT資産のインターネットへの露出を減らすこと、ITネットワークとOTネットワークの間に厳格なネットワーク分離を実装すること、すべてのリモートアクセスに多要素認証(MFA)を適用することが含まれます。
資産所有者は、VNCソフトウェアを更新し、制御デバイスのデフォルトパスワードをすべて直ちに変更することも推奨されています。
翻訳元: https://gbhackers.com/pro-russia-hacktivist/
