NCSC、18人のロシア将校を制裁、悪名高いGRU部隊によるAuthentic Anticsスパイツールの使用を関連付け
最近発生したMicrosoftクラウドアカウントを標的とした強力なAuthentic Anticsマルウェアツールによるサイバー攻撃は、悪名高いロシアのFancy Bearハッカーグループの仕業であると、英国国家サイバーセキュリティセンター(NCSC)が発表しました。
Authentic Anticsは、2023年に発生したサイバー攻撃後に発見され、NCSCが今年5月にマルウェアの技術的な詳細解析を公開しました。同機関は今回、このプラットフォームがロシアのGRU 26165軍事情報部隊、通称Fancy BearまたはAPT 28に正式に帰属することを確認し、これまでの疑念を裏付けました。
しかし、多くのスパイ活動に関する報道が詳細を省略しがちなのに対し、NCSCの最新レポートは、疑われているFancy Bearの作戦やその背後にいるロシア工作員について、異例の背景情報を提供しています。
合計で18人の情報将校および指揮官が、GRUの29155部隊および74455部隊、そして26165部隊自体にわたり、NCSCによって名指しされ、経済制裁を受けています。
「ヨーロッパを不安定化させるキャンペーン」
Fancy Bearは、西側諸国で有名になったのは、2016年の世界アンチ・ドーピング機構(WADA)アスリートデータの流出や、同年の米国大統領選挙期間中の米民主党全国委員会(DNC)での同様のデータ侵害などの攻撃によるものです。
NCSCによると、この部隊はその後も多数の攻撃を実施しており、2018年にはユーリヤおよびセルゲイ・スクリパリのメールアカウントを標的とし、暗殺未遂を助けたとされています。
「GRUのスパイはヨーロッパを不安定化させ、ウクライナの主権を損ない、英国市民の安全を脅かすキャンペーンを展開しています」と、英国外務大臣デイビッド・ラミーはコメントしました。
「クレムリンは疑う余地がないはずです。我々は彼らが影で何をしようとしているかを見抜いており、決して容認しません。だからこそ、ロシアのスパイに対して制裁という断固たる行動を取っているのです。英国を危害から守ることは、この政府の『変革計画』の根幹です」と彼は付け加えました。
Authentic Anticsはどれほど危険か?
すべての国家レベルのサイバー攻撃ツールと同様に、Authentic Anticsは設計通りの機能を発揮します。今回の場合、偽のログイン画面やOAuth 2.0トークンの窃取を通じてMicrosoft Officeアカウントの認証情報を盗み出します。
このマルウェアは、正規のサービスを使った通信や、ハッキングしたアカウントから無害に見えるメールを送信して盗んだデータを外部に持ち出すなど、検知を回避するためのさまざまな手法を用いています。
「従来型のコマンド&コントロールは実装されておらず、そのため検知される可能性が低くなっています」と、5月のNCSC分析は指摘しています。
つまり悪いニュースとしては、検知が非常に困難であるということです。しかし良いニュースとしては、特定の標的にのみ使用される可能性が高く、広範囲に展開される可能性は低いという点です。それでも、NCSCが記録した侵害の兆候(IOC)を研究したり、YARAルールをエンドポイント保護プラットフォームで適用したりすることに越したことはありません。
「ベア(熊)を暴く」
なぜFancy BearやロシアGRU部隊、名指しされた工作員、高度なハッキングツールについてこれほどまでに騒ぐのでしょうか?
こうした活動について世界に警告する必要があるのはもちろんですが、今回の暴露は、過去10年間に米国が特に中国に対して先駆的に行ってきた一種の情報戦を示しています。この戦術は、国家レベルのスパイ活動に対抗する一つの方法として、実名を公表し、実在の人物に制裁を科すことで、Fancy BearやAPT 28のような不可解な名称で語られるこれらのグループにしばしば付きまとう神秘性を打ち砕くものです。
また、敵に対してそのツールが既に把握されていることを警告し、新たなツールの開発に労力を費やさせる効果もあります。
ニュースレターを購読する
編集部からあなたの受信箱へ直送
下記にメールアドレスを入力して開始してください。