司法省によると、40歳のヨルダン国籍の男が木曜日、アクセスブローカーとして活動し、2023年に商用ファイアウォール製品2種の脆弱性を悪用して侵入した少なくとも50社の被害企業ネットワークへのアクセスを販売していたことについて、有罪を認めた。
当時ジョージア共和国に居住していたフェラス・ハリル・アフマド・アルバシティは、当局が裁判記録で明らかにしたところによれば、2023年5月、サイバー犯罪フォーラム上で「r1z」というハンドルネームを用い、覆面のFBI捜査官に被害ネットワークへの不正アクセスを販売した。
覆面のFBI捜査官はその後5カ月間にわたりアルバシティとの連絡を継続し、追加の犯罪行為が疑われる証拠を明らかにした。アルバシティは、3社のエンドポイント検知・対応(EDR)製品を無効化できるマルウェアを販売した疑いが持たれている。
アルバシティは、そのマルウェアが機能することを証明したが、本人が知らないうちに、FBIは捜査の一環としてアクセスを許可したFBIサーバー上で、彼がEDR無効化マルウェアを使用する様子を観察していた。
ニュージャージー州連邦地方裁判所に提出された宣誓供述書によると、覆面捜査官はアルバシティから、権限なく内部ユーザー権限を昇格させることが可能な追加のマルウェアと、市販のペネトレーションテスト(ペンテスト)ツールを改変したバージョンも購入した。
捜査当局は、アルバシティがFBIサーバーにアクセスするために使用したIPアドレスが、以前に米国領土の政府システムへの侵入に用いられていたほか、2023年6月に米国の製造業企業に対して行われ、少なくとも5,000万ドルの損失をもたらしたランサムウェア攻撃にも使用されていたことを突き止めた。
当局は、アルバシティが2018年にそのアカウントを作成するために使用したGmailアドレスを追跡し、それが2016年10月に米国入国のためのビザを国務省に申請した際にアルバシティが使用したメールアドレスと同一であることから、サイバー犯罪フォーラム上の「r1z」アカウントとアルバシティを結び付けた。
FBIは、無関係の捜査の一環として当該サイバー犯罪フォーラムの記録を入手したと述べた。
アルバシティは2024年7月に逮捕され、それ以降拘束されている。彼は起訴状による訴追を放棄し、不正アクセス用デバイスおよびログイン認証情報の取引について有罪を認めた。
アルバシティの量刑言い渡しは5月に予定されており、最長10年の禁錮刑と25万ドルの罰金に直面している。検察は、この罰金額は彼の犯罪によって得られた利益または生じた損失の2倍に当たると述べた。
宣誓供述書は以下で読むことができる。
翻訳元: https://cyberscoop.com/jordanian-national-access-broker-pleads-guilty/
