ヨルダン国籍の男が木曜日、サイバー犯罪フォーラムを通じて少なくとも50社のネットワークへのアクセスを販売した罪について有罪を認めた。
40歳のフェラス・アルバシティは、アクセスデバイスに関連する詐欺および関連行為で起訴され、最大で禁錮10年の刑に直面している。量刑は5月に行われる。
裁判資料によると、覆面のFBI捜査官は2023年5月、名前の明かされていないサイバー犯罪フォーラムに関する別件捜査の過程で、初めてアルバシティと連絡を取り始めた。
「r1z」というユーザー名で活動していたアルバシティは、当初、侵入テスト用ツールのクラック版を覆面捜査官に販売し、その後、ファイアウォールの2種類の別々の脆弱性悪用を通じて50社へのアクセスを5,000ドルで販売した。
2023年9月までに、覆面捜査官はエンドポイント検知・対応(EDR)ツールを停止させることができるマルウェア、いわゆるEDRキラーについて再びアルバシティに連絡した。アルバシティは3つの異なるEDRブランドを無効化できる強力なマルウェアを提示し、FBIはそのうちの1つのバージョンに15,000ドルを支払った。
起訴状でFBIは、そのマルウェアについて「新規であり、被害者のコンピュータネットワークを侵害するうえで非常に効果的であるように見える」と指摘した。
覆面捜査官のためにマルウェアをテストしている間に、FBIはアルバシティのIPアドレスを追跡することができた。起訴状によれば、同じIPアドレスが2023年6月に米国の製造企業に対して行われたランサムウェア攻撃にも関与しており、約5,000万ドル相当の損害を引き起こしたという。検察はどの企業かは特定しなかった。
FBIは最終的に、「r1z」のサイバー犯罪フォーラムアカウントをアルバシティに結び付けることができた。というのも、そのアカウントが、2016年に米国ビザを申請する際に使用されたのと同じメールアドレスで登録されていたためだ。そのGmailアドレスは、アルバシティ名義で登録された他の複数のアカウントや決済カードにも紐付いていた。
アルバシティは起訴当時、ジョージアのトビリシに居住しており、2024年7月に米国へ身柄を引き渡された。
弁護人の交代が数カ月続いた後、アルバシティは最終的に司法取引に応じ、50社へのアクセスを販売したことを認めた。
既知の脅威
初期アクセスブローカーはサイバー犯罪エコシステムにおける重要な歯車であり、被害者ネットワークへの侵入という困難な作業を行ったうえで、それを販売に出したり、自ら悪用したりする。
r1zアカウントは、複数のサイバーセキュリティ企業や政府機関によって長年にわたり注目されており、多くは、セキュリティ製品に対する実際に機能するエクスプロイトを提供する正当な脅威アクターだと見なしていた。
サイバーセキュリティ企業でありファイアウォールの大手メーカーでもあるフォーティネットは、2022年にr1zに関する報告書を公開し、この脅威アクターが「CVE-2022-26134として追跡されている重大なConfluenceの未認証RCE脆弱性を悪用して入手した、脆弱なConfluenceサーバー50台へのアクセスを宣伝し、さらに1万台を超える脆弱なConfluenceサーバーのリストを所持していると主張した」と警告した。
「r1z」アカウントは、フォーティネットにより2022年の信頼できる脅威アクター24件のうちの1つとして掲載された。米国保健福祉省内のサイバーセキュリティ機関も、同機関の2022年報告書で「r1z」を信頼できるものとして言及している。
Health-ISACのサイバー情報共有組織は2023年1月、r1zが人気の侵入テストツールであるCobalt Strikeの違法版を販売する「既知で信頼できる」売り手であるとして、医療機関に警告した。同組織は、このアカウントが「おおむね2022年6月頃から活動しており、侵害されたConfluence、Microsoft Exchange、SonicVPN、VMWareのアカウントを通じた不正アクセスを以前から提供していた」と述べた。
r1zという呼称は、ロシアのサイバー犯罪フォーラムXSS上にもアカウントがあるように見受けられた。サイバーセキュリティ企業ZeroFoxは、サイバー犯罪者がEDRやアンチウイルスのソリューションを回避するために使えるツールを提供する投稿のスクリーンショットを共有した。
Kelaのサイバーセキュリティ専門家は、r1zがXSS上で良い評判を得ており、複数のセキュリティ製品に対する実際に機能するエクスプロイトを提供していたと付け加えた。
翻訳元: https://therecord.media/guilty-plea-initial-access-broker-r1z
