米司法省は、米国および同盟国全土の浄水システム、食品加工施設、政府ネットワークを標的とした、ロシア政府支援による2つのハッキング作戦の一環として、世界中の重要インフラに対するサイバー攻撃を行ったとして、ウクライナ国籍の人物を訴追した。
ビクトリア・エドゥアルドヴナ・ドゥブラノワ(33)は、今年初めに米国へ身柄が引き渡された後、火曜日に2件目の起訴で罪状認否に臨んだ。彼女は、CyberArmyofRussia_Reborn(CARRとして知られる)およびNoName057(16)での活動に関連する罪に問われている。連邦検察官によれば、これら2つのグループは、ロシアの地政学的利益を推進するためにモスクワから支援を受けていたという。
ドゥブラノワは、いずれの事件でも無罪を主張している。
起訴状は、分散型サービス妨害(DDoS)攻撃から、産業用制御システムへのより破壊的な侵入へと発展していった作戦の様子を記述している。検察官によれば、CARRはロシア軍参謀本部情報総局(GRU)として知られるロシア連邦軍参謀本部情報総局によって設立・資金提供された。NoName057(16)は、2018年10月にロシアで大統領令により設立された情報技術組織「若者環境の研究およびネットワーク監視センター」から派生した。
FBIサイバー部門の副部長ブレット・リースマンは、ドゥブラノワに対する今回の訴追は、米国が浄水システムを保護するために制定された法律に基づき、誰かを訴追した初めての事例だと述べた。
「強調しておきたいのは、FBIはサイバー上の敵対者を追跡するだけではないということです。我々は彼らを名指しで非難し、法の裁きにかけます」とリースマンは水曜日の記者電話会見で述べた。「それを示しているのが、まさに本日の発表です。」
両グループは、ロシアとウクライナの紛争が激化した2022年以降、数百件の攻撃の犯行声明を出していた。起訴状によると、CARRは7万5,000人以上のフォロワーを持つテレグラムチャンネルを運営し、時には未成年者を含む100人以上のメンバーが在籍していたという。このグループは、「Cyber_1ce_Killer」という通称を用いる人物から資金提供を受けており、連邦当局は少なくとも1人のGRU職員と結びつけている。
CARRに起因するとされる攻撃は、米国のインフラに具体的な被害をもたらした。複数の州の公共飲料水システムでは、制御システムが損傷し、数十万ガロン規模の水が流出した。2024年11月には、ロサンゼルスの食肉加工施設が攻撃を受け、数千ポンドの肉が腐敗し、避難を余儀なくされるアンモニア漏れが発生した。このグループはまた、米国の選挙インフラや原子力規制関連機関のウェブサイトも標的にしていた。
NoName057(16)は異なる手法で活動しており、DDoSiaと呼ばれる独自ソフトウェアを開発し、世界中のボランティアを攻撃への参加に勧誘していた。このグループはテレグラム上で参加者のランキングを日次で公開し、上位のボランティアには暗号資産で報酬を支払っていた。2022年3月から2025年6月までの間に、同グループはウクライナおよびエストニア、フィンランド、リトアニア、ノルウェー、ポーランド、スウェーデンなどNATO加盟国の政府機関、金融機関、鉄道、港湾に対し、1,500件以上の攻撃を行った。
同グループは、2025年6月にハーグで開催されたNATO首脳会議の期間中、オランダのインフラを標的とした。DDoSiaをダウンロードしたボランティアは、管理者が選定した標的への攻撃に参加する前に、親ロシア的な地政学的動機を説明するマニフェストを読むことが求められた。
FBI、CISA、NSA、エネルギー省、EPAを含む複数機関の連邦捜査官は、親ロシア派ハクティビストが、運用技術(OT)制御機器に侵入するため、セキュリティが不十分なインターネット接続機器を標的としているとする共同勧告を発出した。EPAは公共水道システムへの脅威を強調し、被告の行為が地域社会と飲料水資源を危険にさらしたと指摘した。
CISAのサイバーセキュリティ担当代理副執行補佐ディレクターであるクリス・ブテラは水曜日、重要インフラの運用を担う組織は、これらのグループが「複数の分野にわたり、知名度を上げ混乱を引き起こす目的で、機会主義的かつ低度な洗練度の悪意あるサイバー活動を積極的に行っている」ことを理解すべきだと述べた。
「人々が自らを守るためにできる最も重要なことは、インターネットに公開されている運用技術機器の数を減らすことです」とブテラは語った。
ドゥブラノワは、NoName事件で保護されたコンピューターを損壊する共謀1件に問われており、有罪となれば最長5年の禁錮刑が科される可能性がある。CARRの起訴状では、保護されたコンピューターを損壊し公共水道システムに不正介入する共謀、保護されたコンピューターの損壊、アクセスデバイス詐欺、加重個人情報窃盗の罪に問われている。CARR関連の全ての罪で有罪となった場合、最長27年の連邦刑務所での服役が科される可能性がある。
国務省は、CARRに関係する人物に関する情報提供に対して最大200万ドル、NoName057(16)に関する情報提供に対して最大1,000万ドルの報奨金を発表した。CARRのメンバー2人、ユリヤ・ウラジーミロヴナ・パンクラトワとデニス・オレゴヴィチ・デグチャレンコは、2024年7月に財務省から制裁を受けている。パンクラトワはCARRの管理者を務めていたとされ、デグチャレンコは米国のエネルギー企業の監視制御・データ収集(SCADA)システムにアクセスした主要ハッカーとして説明されている。
これらの捜査は、米国の重要インフラに対するロシア政府支援のサイバー脅威を阻止するFBIの取り組み「オペレーション・レッドサーカス」の一環である。検察官によれば、2024年末までにCARRの管理者らはGRUからの支援に不満を募らせ、類似の手口を用いる新たなグループ「Z-Pentest」を立ち上げたという。
裁判は、NoName事件が2026年2月3日、CARR事件が2026年4月7日に予定されている。
