先週、ロンドンの自宅で逮捕された19歳のイギリス国籍の人物は、非常に多作なサイバー犯罪者であり、The Comという曖昧なハッカー集団のサブグループの中核メンバーだったと、研究者たちはCyberScoopに語った。
当局によるScattered Spiderの関係者の身元特定と重大犯罪での起訴を目指す長年の捜査は、先週のThalha Jubairの逮捕で転機を迎えた。Jubairは、少なくとも120件のサイバー攻撃に直接かつ重要な役割で関与したとされており、その中には米国拠点の47組織への恐喝や、1月の米連邦裁判所システムへの攻撃も含まれている。
当局によると、Jubairが管理していたBitcoinアドレスやサーバーに、支払い時点で合計少なくとも8,950万ドル相当の暗号通貨が送金されたことを突き止めた。2つの金融サービス会社は、2023年6月から11月の間に、それぞれ2,500万ドルと3,620万ドルをBitcoinでJubairに支払ったと、Jubairに対する公開された刑事告発状に記載されている。
当局がJubairに関連付けた攻撃件数や身代金支払いの多さは、彼がScattered Spiderに広く帰属される攻撃において中心的な役割を果たしていたことを浮き彫りにしている。CrowdStrikeの対敵作戦担当上級副社長であるAdam Meyersは、Jubairがこの緩やかに結びついたサイバー犯罪ネットワークの主要なオペレーターの一人だったと述べた。
「彼はScattered Spiderに関連付けた4人の主要人物の一人であり、最も中核的な2人のうちの一人です」とMeyersはCyberScoopに語った。
他のサイバー犯罪専門家も、Jubairの関与やScattered Spiderの大規模な恐喝スキームにおける重要性について同様の評価を示した。Scattered Spiderが派生したThe Comは、伝統的な意味での正式なリーダーを持たないが、Jubairはリーダー的な役割を果たしていたと、Analyst1のチーフセキュリティストラテジストであるJon DiMaggioは述べた。
「この広範な集団の中には他にも多くの活動グループがあり、Jubairは彼が支援・影響を与えた複数のクラスターの中でリーダー的存在だったと考えます」とDiMaggioは述べた。
Flashpointのアナリストは、Jubairをこれらのコミュニティ内で大きな存在であり、何年にもわたり複数の業界に対する攻撃に関与してきたと評した。「彼らの成長と進化は、Scattered Spiderに帰属される攻撃の規模や拡大と一致しているように見えます」と脅威インテリジェンス企業のアナリストはメールで述べた。
連邦当局は、Scattered Spiderが製造、エンターテインメント、小売、航空、保険、金融、ビジネスプロセスおよびカスタマーサービスのアウトソーシング、建設、ホスピタリティ、テクノロジー、通信、そして複数の重要インフラ分野の組織に対する攻撃に関与しているとみている。これらの攻撃の被害者は、少なくとも1億1,500万ドルの身代金を支払ったと当局は述べている。
「彼らは荒稼ぎしていました。そしてこれはFBIが把握している金額に過ぎません」とMicrosoftの脅威インテリジェンス戦略ディレクターであるSherrod DeGrippoは、LinkedInの投稿で述べた。
研究者たちは、Jubairの正体を1年以上前から把握しており、彼は「EarthtoStar」「Brad」「Austin」「Everylynn」「@autistic」など多くの別名を使っていた。彼は研究者の監視対象であり、2024年7月に法執行機関がJubairが管理していたとされるサーバー上のウォレットから約3,600万ドル相当の暗号通貨を押収した後は、さらに注目されていた。
「数年かかりましたし、みんなが彼らに注目していた間、彼らはかなり活動していました」とMeyersは述べた。関係者は「1年前には彼が誰か分かっていました。重要なのは、事件を立証するための方法が必要だったという点で、そこが法執行機関が正直なところ不利になる部分です」と語った。
捜査官たちはブロックチェーン分析を通じてJubairに対する証拠を強化した。当局によると、Jubairが管理していたサーバー上のウォレットから、彼のアパート複合施設へのフードデリバリーサービスやゲームアカウントで使われたギフトカード購入まで、暗号通貨の取引を追跡したという。
「彼の逮捕は、オンライン上で匿名を維持することの難しさを浮き彫りにしています」とFlashpointのアナリストは述べた。
Meyersによれば、Jubairは「非常に慎重」で、利用後にすべての操作履歴を消去する設計の失念型オペレーティングシステムやVPNを使っていたが、彼自身の個人的な活動が捜査官を彼の元へ導いた。
Jubairはイギリスとアメリカで起訴されている。イギリス当局は先週、2024年9月のロンドン交通局へのサイバー攻撃に関連する犯罪で彼を起訴した。また、米国ニュージャージー地区連邦地方裁判所でも、コンピュータ詐欺共謀、2件のコンピュータ詐欺、電信詐欺共謀、2件の電信詐欺、マネーロンダリング共謀で起訴された。
司法省は、Jubairをアメリカに引き渡すための手続きが進行中かどうかについては明らかにしていない。もし有罪となれば、アメリカで最大95年の禁錮刑に直面する。
ベテランの脅威ハンターたちはJubairの逮捕を評価する一方で、既知かつ極めて多作なサイバー犯罪者を巡る今回の事件で浮き彫りになった継続的な課題や捜査の遅れにいら立ちを隠せない。
「時間がかかりました。どれだけ多くの情報を持っていたか、そして捜査の進み方について、まだ多くのフラストレーションがあります」とMeyersは述べた。
それでもなお、Jubairの「逮捕は大きな出来事であり、この界隈では最大級のものかもしれません」とDiMaggioは述べた。
「Jubairが多くの作戦や別名で関与していたとされることを考えると、彼を排除することで複数の犯罪クラスターのやり方に打撃を与える可能性があります。他の者たちが運用方法を変えたり、一部の攻撃が遅れることを強いられるかもしれません」と彼は付け加えた。
「しかし、このグループは広範囲に分散し、緩やかに組織されているため、この一件の逮捕で全てが止まるとは思いません」とDiMaggioは述べた。Jubairの逮捕は「非常に大きな影響があり、The Comにおけるこれまでで最も重要な逮捕の一つですが、これで全てが終わったと考えるべきではありません。」
翻訳元: https://cyberscoop.com/thalha-jubair-uk-teen-scattered-spider-leader/