2021年7月にITサービスプロバイダーのKaseyaを標的としたサプライチェーン攻撃に関与したハッカーが、ロシア政府に強要されていたと主張した。
「Rabotnik」として知られるREvilランサムウェア・シンジケートの元アフィリエイトであるヤロスラフ・ヴァシンスキーは、コネチカット州の連邦矯正施設ダンベリー(FCI Danbury)で、米連邦刑務所において13年超の刑に服している。
ランサムウェアのエコシステムを調査する『Ransomware Diaries』シリーズの著者であり、Analyst1のチーフ・セキュリティ・ストラテジストであるジョン・ディマッジオとの6か月にわたる対話の中で、ヴァシンスキーは「道徳的」理由からREvilを何度も離脱しようとしたが、離脱前にKaseya攻撃の準備をするよう脅迫されていたことを明かした。
ヴァシンスキーは、REvilがロシア政府とつながりを持ち、自分にサイバー攻撃を続けさせるために脅迫してきた人物は、クレムリンと関係する政府機関の出身である可能性が高いと主張した。
ディマッジオは、8月9日にラスベガスで開催されたDEFCON 33で、Trellixの脅威インテリジェンス責任者ジョン・フォッカーとともに行った講演の中で、調査結果を明らかにした。
調査の全文(書面版)は、8月9日にRansomware Diaries Volume 7レポートとして公開された。
REvilへの勧誘、道徳的危機、そして離脱の試み
ヴァシンスキーは2019年初頭、約1000台の侵害PCに結び付いた、さまざまなコマンド&コントロール(C2)機能を持つConnectWiseサーバーの脆弱性を見つけた後、「Lalartu」として知られるグループのメンバーに「勧誘」され、REvilで働き始めた。
彼はREvilと活動する間、ポーランドを拠点にしつつ、数回ウクライナへ渡航していた。
ディマッジオとのメールおよび電話でのやり取りの中で、ヴァシンスキーは2020年3月、恋人の父親と自身の祖母の死が、自分のサイバー犯罪活動に対する制裁として行われたのだと信じ、REvilを離脱しようとしたと主張した。
さらにヴァシンスキーは、バプテスト教会および病院に対するREvilのサイバー攻撃疑惑(後者では患者が死亡したと報じられている)を受けて、「不安が増し」、道徳的な後悔を抱くようになったとディマッジオに語った。
この死亡疑惑について、UNKNという呼称を用いるREvilの首領に尋ねたところ、意図した結果ではなかったものの、ランサムウェア集団にとって「良い宣伝」になったと言われたという。
ディマッジオの追加調査では、病院に対する致命的なサイバー攻撃はREvilではなくRyukによって実行された可能性が高いことが示唆されたが、「人の死を良い広告として軽く片付ける態度がヴァシンスキーを嫌悪させた」とセキュリティ研究者は記している。
「それは、彼がすでに恐れていたことを裏付けた。かつて取引的なものとして合理化していた作戦が、より冷酷で、より無関心で、より危険なものへと変質していたのだ。悲嘆し、疲れ果て、怒りに満ちたヴァシンスキーはREvilから身を引いた。」
監視と脅迫
しかしヴァシンスキーは、その後、自分の生活全体が何らかの高位の機関によって監視下に置かれたと述べた。
2021年1月にキーウのボリースピリ空港へ向かった際、パスポートコントロールで税関に止められ、捜索を受けたうえで空港の外へ連れ出されたという。
ヴァシンスキーによれば、彼は自分に対して影響力を持つ、ウクライナの法執行機関とつながりのある人物から圧力を受けていた。
その後、これらの接触先の一人が、権力を持つ高位の元情報将校であったことを明かした。ヴァシンスキーは、この脅迫は金銭目的ではなく政治的動機によるものだと主張した。
そのハンドラーの影響力はウクライナをはるかに超えて及んでおり、深い国際的な情報機関のつながり、あるいは広範な越境汚職ネットワークの存在を示唆していた。
「ヴァシンスキーの最悪の恐れが確認された。彼の『旧友』は、その影響力と権力を利用してキーウでの法的トラブルを作り出し、今やそれを使って彼を支配していた」とディマッジオは書いている。
彼らが望んでいたのは、ヴァシンスキーがREvilで働き続けることだったという。拒否すれば、投獄され、拷問され、さらには恋人や家族に危害を加えると脅されたとされる。
ヴァシンスキーが拠点としていたポーランドに戻ってからも監視は続き、彼が圧力をかけてくる人々をそう呼んでいた「ハンドラー」は、行く先々にいたという。
Kaseya――戦略的標的
ヴァシンスキーによれば、彼の「ハンドラー」は次の標的としてKaseyaを選んだ。ディマッジオは、「同社ソフトウェアが提供する連鎖的なアクセスを狙い、同社のソフトウェア配布能力を通じて数千の下流顧客に最大限の被害を与える機会を見いだしたためだ」と書いている。
ヴァシンスキーはディマッジオに対し、初期侵入から最終ペイロードのテストまで、攻撃の準備をすべて自分一人で行ったことを認めた。しかし自分で実行(起動)したくはなく、ペイロードの配信段階はREvilに引き渡したという。
また、自分が攻撃を実行していないことを示すために、次のような複数の方法も試みたという。
- 攻撃前にFBIへ手紙を送る
- REvilの指導部との会話の際にスピーカーフォンを使用し、自分を監視している可能性のある捜査当局が会話を聞けるようにする
- 攻撃が実行された当日、ポーランドからウクライナへ出国する際に、監視カメラ(CCTV)に顔を映す
しかし、これらの証拠はいずれもヴァシンスキーの弁護には用いられず、最終的に彼は有罪答弁を行った。
REvilを動かしていた人物の背後にあるペルソナであるUNKNは、Kaseya攻撃後に姿を消した。この攻撃は17か国で1500社超を侵害し、学校、薬局、さらにはスーパーマーケットチェーン全体を停止に追い込んだ。
Kaseya:国家レベルのハンドラーを伴う三層構造の作戦
Kaseya攻撃はREvilによるものとされ、7000万ドルの身代金が要求されたが、ヴァシンスキーの証言は、ランサムウェア集団の真の役割が作戦指揮ではなく、厳密に技術的請負業者に過ぎなかったことを示唆している。
ディマッジオの報告によれば、ヴァシンスキーは、REvilが担当したのは.exeファイルとしてのビルドだけで、それ以上でも以下でもないと述べた。
「彼らは武器を提供したが、命令を出し引き金を引いたのは彼のハンドラーだった。この証言は、三層構造の作戦体制を示している。すなわち、ランサムウェア提供者としてのREvilの役割、攻撃準備を担う技術責任者としてのヴァシンスキーの役割、そして実行チームとしての第三者――国家レベルのハンドラー――を分離している」とディマッジオは説明した。
研究者はさらに、「これは恐喝が目的のはずではなかった。目的は破壊だった。下流システムを麻痺させ、情報を収集し、重要インフラへのアクセスを得ることだ」と付け加えた。
さらにヴァシンスキーは、REvilがロシア政府当局とつながりを持っていた一方で、自分のハンドラーはより強大で、ランサムウェア集団ですら到達できないレベルで活動していたと主張した。
これは、彼のトラブルが単なるサイバー犯罪者との関係に起因するのではなく、影響力がREvilの政府系協力者すら凌駕する高位の人物との関与に起因していることを示唆していた。
ロシアのサイバー犯罪フォーラムでは、UNKNは、UNKNが消えた直後の2021年7月に逮捕された元ロシア警察官アレクサンドル・エルマコフではないか、という説が示された。しかしヴァシンスキーはこれに異議を唱え、エルマコフがREvilの一員であることは認めつつも、UNKNに関連する人物は彼だけではないと確認した。
彼は、UNKNアカウントは2人によって管理されていたと考えている。命令を受ける側のエルマコフと、命令を出す側のもう1人だ。真の指導者は、ヴァシンスキーが強調するところでは、「Unknown(不明)」のままだった。
DEFCONでの講演で、Analyst1のディマッジオは、サイバー犯罪者は嘘をつくことが多い一方で、ヴァシンスキーは研究者が検証した事柄については一度も嘘をつかなかったように見えたと強調した。
「この時点で、彼には失うものがあまりなかった。私に嘘をつく理由は実際のところなかった。彼は懲役13年7か月の判決を受け、1600万ドルの賠償金を支払う必要があり、仮釈放の可能性もない」とディマッジオは結論づけた。
写真クレジット: Felix Mizioznikov / mundissima / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/hacker-russian-government-kaseya/
