ロシア軍情報機関は、ウクライナのオンライン・プラットフォームに集中的に焦点を当ててきた。これは、クレムリンの侵略軍を押し戻すために続く戦争を支える民間の活動をのぞき見る窓を開こうとする試みである可能性が高い。
ロシア軍参謀本部情報総局(GRU)隷下の部隊26165は、2024年6月から4月まで少なくとも11カ月にわたるキャンペーンを実施し、キーウ拠点の無料ウェブメール/ニュース・プラットフォームukr.netの利用者の侵害を狙った。同サービスの利用者は国内のおよそ半数に上るという。研究者らはこのGRUのハッキング部隊を、APT28 Fancy Bear、Forest Blizzard、BlueDeltaなど複数の名称で追跡している。
Recorded Futureの研究者らは報告で、GRUのハッカーが、受信者にパスワード変更を指示する少なくとも20種類の異なるPDF誘導(ルアー)を添付したフィッシングメールを用いたと述べた。さまざまなリンク短縮サービスを使って偽装した悪性URLなど、層状の手口を組み合わせることで、これらの攻撃はCAPTCHAや二要素認証の防御を回避する形で認証情報を窃取し、メールフィルタリングやサンドボックス検知でもブロックされにくいよう設計されていた。
「ukr.netのようなウェブメール・プラットフォームは単なる通信ツールではない。ソーシャルネットワーク、非公式な統治、ボランティアの物流、軍に隣接する調整、そしてディアスポラのつながりへの入口だ」と、Recorded Futureのシニアアドバイザーであるアレクサンダー・レスリーはLinkedInの投稿で述べた。「アカウントを大規模に侵害すれば、従来の戦場情報や物理的作戦を補完する形で、ウクライナ社会に対する非対称な可視性を得られる」。さらにそれは「安価で、拡張可能で、政治的に否認しやすい」という利点もある。
Recorded Futureの報告書は、こうしたサイバー諜報キャンペーンで収集された情報が、数カ月後あるいは数年後に、恐喝、影響工作、または防諜作戦に利用され得ると警告している。
研究者らは少なくとも42種類の「認証情報窃取チェーン」を確認した。いずれも、無料のAPIモックアップサービスMockyでホストされた各種ページや、認証情報を盗み取る目的で作られた正規に見えるukr.netのログインページへ標的を誘導していた。利用者が認証情報を入力すると、MockyのページがJavaScriptでそれを取得し、少なくとも一部のケースではAmazon Elastic Compute Cloud上でホストされたドメインへ転送していた。これらのドメインはngrokのリバースプロキシ・サービスに結び付いているように見え、追加の攻撃インフラの所在を隠す狙いがあった可能性が高い。
ロシアのハッカーがngrokや、無料枠を含むホスティング/リダイレクト機能を提供する他のサービスへ移行したのは、2024年初頭にFBI、米サイバー軍、国家安全保障局(NSA)および同盟パートナーが、サイバー犯罪者により「Moobot」マルウェアに感染させられたUbiquiti EdgeRouterで構成されるボットネットを妨害したことが背景にある可能性が高い。
NSAは声明で、GRUがこのボットネットを「認証情報の窃取、ダイジェストの収集、ネットワークトラフィックのプロキシ、スピアフィッシング用ランディングページおよびカスタムツールのホスティング」に使用したと述べ、被害者には大使館、防衛関連請負業者、研究者、政党などが含まれるとした。
このキャンペーンは、ukr.net利用者を狙った初めてのものではない。2022年3月中旬、ロシアによる全面的な征服戦争の開始から数週間後、ウクライナ政府のコンピュータ緊急対応チームは、正規のukr.netメールに見せかけたフィッシングメールが送られており、リンク短縮サービスで生成されたURLにリンクするQRコードが含まれていると警告した。
「後者にアクセスすると、ukr.netのパスワード変更ページを模倣しようとするウェブサイトへリダイレクトされる。HTTP POSTリクエストを用いてユーザーが入力したデータは、Pipedreamプラットフォーム上に攻撃者が展開したウェブリソースへ送信される」とCERT-UAは述べ、このキャンペーンがAPT28に由来する可能性があると付け加えた。
Pipedreamは開発者向けに設計された統合プラットフォームで、固有のURLを生成するために利用できる。ロシアの攻撃者はフィッシングキャンペーンの一環として、これを継続的に利用している。
「戦争が長期化する中でも、情報収集はモスクワの勝利理論の中核であり続けている」とレスリーは述べた(参照:ロシアのGRU、重要インフラのクラウド侵害に関与)。
翻訳元: https://www.databreachtoday.com/russian-credential-harvesting-apes-ukraine-webmail-platform-a-30325
