防衛産業は、スパイ活動、人員標的化、サプライチェーン攻撃が国家安全保障に対する持続的かつ戦略的リスクへと収束する、激しい多方面からのサイバー攻撃に直面しています。
GoogleのThreat Intelligence Group(GTIG)による最近の分析は、国家支援型攻撃者やサイバー犯罪者が防衛産業基盤(DIB)に対して、最前線の戦場システムから現代の軍隊を静かに支える世界的な製造ネットワークに至るまで、あらゆるものを悪用しながら、ますます焦点を絞っていることを示しています。
キャンペーンには、安全なメッセージングアプリの侵害、SignalやWhatsAppなどのツールにおけるデバイスリンク機能の悪用、ドローンをテーマにした文書を武器化して最前線部隊から認証情報を収集することが含まれます。
これらの侵入は、個々の兵士や請負業者のデバイスを標的にすることで、従来の企業監視をますます回避しており、暗号化されたメッセンジャーや戦術アプリからのデータが静かに流出する可能性があります。
GTIGの報告によると、ロシアと連携する攻撃者やハクティビストは、ロシア・ウクライナ戦争に関連する組織を重点的に標的にしており、特に無人航空機システムやDeltaやKropyvaなどの戦場管理プラットフォームに焦点を当てています。
UNC5976には、英国、米国、ドイツ、フランス、スウェーデン、ノルウェー、ウクライナ、トルコ、韓国に本社を置く企業を含む防衛請負業者になりすました数百のドメインが含まれていました。
GTIGは、カスタムAndroidマルウェアと悪意のあるPowerShellチェーンを使用してアクセスを維持する複数のロシアのクラスターに言及しており、個人デバイスが現代の戦場の延長となっていることを強調しています。
人員と採用パイプライン
最前線を超えて、攻撃者は採用パイプライン、専門ネットワーク、個人の電子メールアカウントを含む防衛エコシステムの人的レイヤーを体系的に悪用しています。
関連するインフラストラクチャは、APT43および疑わしいAPT43クラスターによって使用されるバックドアであるHANGMAN.V2によっても使用されていました。
例えば、北朝鮮のオペレーターは、西側企業に侵入するための長期的なIT作業員スキームを実行しており、DPRK作業員が機密防衛プログラムで遠隔役割を獲得し、知的財産を流出させるのを支援するインサイダーの文書化された事例があります。
イランのグループは、航空宇宙およびUAVメーカー、採用ポータル、さらには性格テストや履歴書作成アプリになりすまして、カスタムマルウェアを配信する工業化された求人をテーマにしたフィッシングキャンペーンを実行しています。
APT5などの中国系攻撃者は、地域のイベント、専門会議、さらにはコミュニティや家族の活動に関連した高度にカスタマイズされた誘引を使用して、主要な防衛および航空宇宙企業の現職および元従業員の個人電子メールアカウントを標的にしています。
GTIGは、中国系サイバースパイ攻撃者が過去2年間で防衛産業基盤に対する最大量の脅威を代表しており、エッジデバイスとゼロデイ攻撃の悪用に戦略的に焦点を当てていると評価しています。
2020年以降、中国のグループは、少なくとも10のベンダーからのVPN、ルーター、ファイアウォール、およびその他の境界アプライアンスにおいて、20以上のゼロデイ脆弱性を悪用しており、エンドポイント検出ツールの可視性が制限されている環境で行われることが多くあります。
UNC3886やUNC5221などの高度に有能なクラスターは、このアクセスを広範な難読化や長い滞留時間と組み合わせており、航空宇宙および防衛組織を含む被害者ネットワーク内での平均滞在日数が393日のBRICKSTORMキャンペーンが含まれます。
他の中国関連グループは、侵害された研究プラットフォームやメールシステムを利用して、特にドローンやカウンターUASシステムに関連する数百の防衛関連用語を含む電子メールをフィルタリングして転送しています。
サプライチェーンの脆弱性
GTIGは、直接的な防衛請負業者が主な被害者でない場合でも、デュアルユースコンポーネントを供給するより広い製造セクターが恐喝作戦から大きな被害を受けていると警告しています。
USDoDはさらに、彼らが個人的な復讐心を持っており、政治的動機はないと示しました。2024年10月、ブラジル当局はUSDoDであると非難された個人を逮捕しました。
2020年以降、製造業は一貫してGTIGが追跡するランサムウェアデータリークサイトで最も多く表されるセクターであり、軍用車両も生産する英国の自動車メーカーでの2025年のインシデントは、生産を数週間中断し、5,000以上の他の組織に影響を与えました。
ハック・アンド・リークキャンペーンと不正データ市場がこのリスクを増幅しており、攻撃者は名前のない防衛請負業者へのアクセスを公然と宣伝し、機密防衛文書とされるものをリークまたは販売しています。
ロシア支援のペルソナは、DDoSからサプライチェーン侵害、ドキシングキャンペーン、防衛機関への信頼を損ない、軍産複合体の関係を暴露することを目的とした協調的なリークへとエスカレートしています。
GTIGの包括的な結論は、防衛セクターが現在、ロシアの戦場スパイ活動、北朝鮮とイランの人員標的化、中国による持続的なエッジデバイス攻撃、製造サプライチェーンの体系的な暴露にまたがる、多方向からの絶え間ない包囲攻撃を受けているということです。
報告書は、防衛組織とそのサプライヤーに対し、反応的なセキュリティを超えて、脅威インテリジェンスを積極的なハンティング、エッジインフラストラクチャのアーキテクチャ強化、採用やベンダーオンボーディングなどの人間中心のプロセスのより厳密な精査に組み込むよう促しています。
この転換がなければ、GTIGは、防衛技術が運用劇場に到達するずっと前に侵害されるリスクがあり、戦場だけでなく設計、開発、調達段階で国家安全保障が損なわれる可能性があると警告しています。
翻訳元: https://gbhackers.com/supply-chain-cyber-threats/
