Microsoft Threat Intelligenceによると、ロシアの国家支援型脅威グループが、少なくとも2024年以降、モスクワにおいて外国の外交官をスパイし、彼らの通信やデータへの継続的なアクセスを管理しています。
Secret Blizzardは、監視ツールを活用し、標的となるデバイスにマルウェアを展開することで、ロシアのインターネットサービスプロバイダーや通信ネットワーク上で「攻撃者中間者(Adversary-in-the-middle)」のポジションを獲得している可能性が高いと、研究者らは木曜日に公開したレポートで述べています。
マイクロソフトの発見は、Secret BlizzardがISPレベルでの能力を持つことを研究者が高い確信をもって初めて確認したものであり、これは受動的な監視と能動的な侵入を組み合わせたアクセスレベルです。
「これは、単にトラフィックを監視するだけから、標的のシステムに侵入するためにネットワークトラフィックを積極的に改ざんする方向への進化、あるいは動きです」と、マイクロソフトの脅威インテリジェンス戦略ディレクターであるSherrod DeGrippo氏はCyberScoopに語りました。
Secret Blizzard(別名Turla、Pensive Ursa、Waterbug)は、ロシア連邦保安庁(FSB)の第16センターに関連しており、数十年にわたり活動しています。
ロシアの国家支援グループは「高度持続的脅威(APT)を思い浮かべたときの典型的な定義であり、創造的で、粘り強く、十分なリソースを持ち、高度に組織され、プロジェクトを実行でき、目的に沿った行動を実行できる」とDeGrippo氏は述べています。「最終的には、重要なキーワードは『創造的』だと思います。」
Secret Blizzardは、マイクロソフトによると、標的となる被害者がキャプティブポータルを通じて国家系ネットワークにアクセスした後、悪意のあるドメインにリダイレクトし、証明書の検証エラーを表示させることで、大使館職員のデバイスへの初期アクセスを獲得しています。
このエラーは大使館職員に、カスペルスキー・アンチウイルスとして偽装されたルート証明書のダウンロードを促し、これによりApolloShadowマルウェアが展開されます。このカスタムマルウェアはトラフィックの暗号化を無効化し、デバイスに悪意のあるサイトを正規のものとして認識させ、Secret Blizzardが外交デバイスへの持続的なスパイ活動アクセスを維持できるようにします。
「これはソーシャルエンジニアリングの優れた例であり、習慣、緊急性、感情というソーシャルエンジニアリングの三大要素を利用しています」とDeGrippo氏は述べました。
「セキュリティ上の問題があると表示され、しかもセキュリティベンダーのブランドが付いているポップアップが表示されます。私たちはこの手法を数十年にわたり目にしてきました」と彼女は述べました。「特に、国家系・国有ネットワーク上で、監視が厳しい国々で、政府がISPに対して深い技術的・法的なコントロールを持っている場合、単にクリックして確認せずに進んでしまうと、そのインフラがあなたの攻撃対象領域の一部になってしまいます。」
マイクロソフトは、影響を受けた大使館の数については明言を避けましたが、グループが活動中であることを指摘しました。この政治的動機によるスパイ活動キャンペーンに関連する侵入により、Secret Blizzardは標的の閲覧の大部分を平文で閲覧でき、特定のトークンや認証情報も含まれると、研究者はレポートで述べています。
「これは比較的単純に見えますが、合法的な傍受機能を活用している可能性が高いことで、単純になっているのです」とDeGrippo氏は述べました。「中国、ロシア、北朝鮮、イランといった監視が厳しい国々の高リスクな環境では、現地インフラに依存することは懸念材料です。」
マイクロソフトは以前にも、Secret Blizzardが他のサイバー犯罪グループのツールを使用してウクライナの標的を攻撃したことを観測しており、同グループがロシアにとって地政学的に関心のあるネットワークに侵入するため、さまざまな攻撃手法や手段を用いていることを示しています。
翻訳元: https://cyberscoop.com/russia-secret-blizzard-espionage-embassies-moscow/