ウクライナ当局が最新の年央サイバーレポートで明らかにしたところによると、ロシアに連なる脅威アクターは、ウクライナ全土での広範な情報窃取キャンペーンから離れ、軍事インフラを標的としたサイバー諜報に注力するようになっている。
ウクライナ国家特別通信・情報保護局(SSSCIP)の分析によれば、ウクライナの安全保障・防衛部門に対するサイバー攻撃は、2023年後半(111件)から2024年前半(276件)にかけて倍増した。
SSSCIPは報告書Russian Cyber Operations (H1 2024) において、2024年前半、ロシアに連なる敵対者が主として戦域に直接関係するあらゆるもの、およびサービスプロバイダーへの攻撃に焦点を当てていたと指摘した。
特に、ロシアに帰属するとされる5つの脅威グループ(UAC-0184、UAC-0020、UAC-0149、UAC-0200、UAC-0180)がとりわけ活発で、さまざまなバージョンのリモートアクセス型トロイの木馬(RAT)やその他のマルウェアを用いて、ウクライナ防衛軍の構成員が所有する侵害済みWindowsコンピューターを維持し、遠隔から制御していた。
この新たな戦略は2022年以降に進化しており、当時はロシアの脅威アクターが主に、重要インフラ部門に属する組織のITインフラを解体し、データベースや個人データの詳細を流出させようとしていた。その後2023年には、主な目的はウクライナの全セクターにわたる情報収集だった。
ウクライナを標的とするサイバー攻撃が19%増
SSSCIPの報告書はまた、2024年前半に登録されたサイバーインシデントの総数が1739件に達し、前回の報告期間と比べて19%増加したことを示した。
ただし、この増加は主に低~中程度の深刻度のインシデントの急増によるもので、高深刻度および重大深刻度のインシデントは減少した。
最後に報告書は、ウクライナを標的とするサイバー敵対者がキャンペーン実施におけるマルウェアへの依存を強めていることを明らかにし、2024年前半の感染件数は196件(悪性ソフトウェアを含む)で、前回期間の103件から増加した。
この傾向は主に、バックドアが事前に組み込まれた海賊版ソフトウェアの利用増加によるものだ。
「また、無許可ソフトウェアを通じたマルウェア感染に起因する脆弱性を回避するため、Windows、Office、EDR、MDM、SIEM、IDMといったライセンス済みソフトウェアを提供することが、ウクライナの軍事・民間組織の双方にとって極めて重要である点も強調しなければならない」と報告書は結論づけた。
本報告書は、CERT-UA、SOC-SSCIP、およびSSSCIPの他のサイバー部門が収集したデータに基づいている。
翻訳元: https://www.infosecurity-magazine.com/news/russian-cyberattacks-ukraines/
