ロシアと連携するNobeliumがフランスの外交機関を標的に

フランスのサイバーセキュリティ機関ANSSIによると、ロシアと連携する脅威アクターNobeliumは2021年以降、フランスの外交機関および公的組織を継続的に標的にしている。

フランス当局は新たな勧告の中で、この脅威アクターが2021年から2024年にかけて少なくとも5件の協調的なキャンペーンに関与していたと述べた。標的には、フランス文化省、フランス外務省、国土結束庁（ANCT）、および世界各地の複数のフランス大使館が含まれていた。

「ANSSIは、地政学的緊張の高まり、特に欧州における、ロシアによるウクライナへの侵略に関連した最近の状況を背景に、Nobeliumに関連する活動が高い水準にあることを観測している」と同機関は記した。

これらのサイバー攻撃の大半は、同一の技術・戦術・手順（TTP）に従っていた。脅威アクターは外交スタッフに属する侵害済みの正規メールアカウントを利用し、標的機関に対してフィッシングキャンペーンを実施した。

オペレーターは、被害者ネットワークへのアクセス、永続化の確保、価値ある情報の持ち出しを目的として、Cobalt StrikeやBrute Ratel C4といった公開レッドチーミングツールを実行するために、自前のプライベートローダーを配布しようとした。

ANSSIはさらに、「“Diplomatic Orbiter（外交オービター）”と呼ばれるキャンペーンとして説明される、政府および外交機関に対するNobeliumの活動は国家安全保障上の懸念であり、フランスおよび欧州の外交上の利益を危険にさらす」と付け加えた。

同機関はまた、Nobeliumが最近、Microsoft、Hewlett Packard Enterprise（HPE）、TeamCityなどのIT企業を標的にすることで被害者リストを拡大したとも指摘した。

Nobeliumの背後にいるのは誰か？

Nobelium（別名Midnight Blizzard）は、潤沢なリソースを持ち、非常に専心的なサイバー諜報グループで、ロシア対外情報庁（SVR）と関係があるとみられている。

米国を含む複数のパートナーは、NobeliumがAPT29と関連していると見なしており、APT29には2015年の米国民主党全国委員会に対する攻撃と、SolarWinds製品を標的とした2020年のSunburst攻撃の双方が帰属されている。

しかし、攻撃者のコード、戦術、技術、手順の進化を観測した結果に基づき、ANSSIはSVR関連の侵入セットを3つの異なる、完全に独立したものとして区別することを好んでいる。

• APT29（The Dukesとしても知られる）：少なくとも2008年以降に活動していたと報告されており、2019年まで各国政府、シンクタンク、外交機関、政党などに対して使用され、特に2015年の米国民主党全国委員会への攻撃と関連付けられている
• Dark Halo：SolarWindsを介したサプライチェーン攻撃と公に関連付けられ、2020年12月に露呈
• Nobelium：少なくとも2020年10月以降に活動している可能性が高い