出典:Daniren(Alamy Stock Photo経由)
国家支援を受けたロシアの脅威アクターが、2025年のモルドバ選挙を広範囲な偽情報キャンペーンで標的にしており、その背後にいる脅威アクターは以前からモスクワと関係がある。
脅威ハンティングベンダーのSilent Pushは、Storm-1679(別名Matryoshka)として追跡されている脅威アクターに関する調査を9月23日に発表した。Silent Pushの調査は、今月初めに発表されたRecorded Futureの分析を基にしており、ロシアが偽情報を使ってモルドバの9月28日の議会選挙を妨害し、同国のEU加盟の取り組みを阻止しようとしている方法を説明している。
このキャンペーンは一般的に、現モルドバ政権や同国のEU加盟の可能性に否定的なバイアスを持つ記事や、現政権に関する虚偽の見出しを含むニュースサイトという形で展開されている。
モルドバ偽情報とロシアのつながりを解明
一方で、Recorded Futureの調査がキャンペーンの政治的影響に焦点を当てていたのに対し、Silent Pushの研究者はより技術的な観点から追跡した。例えば、このキャンペーンに関与する多数のウェブサイトには明確な所有者がいなかったが、Silent Pushは最新のキャンペーンと、2022年に始まったロシアのプロパガンダ活動およびメディア組織「Absatz」とを結びつける「技術的指紋」を特定した。
「Absatzは2022年3月31日にロシアのメディア規制当局Roskomnadzorに登録されました。Roskomnadzorは通信・情報技術・マスメディア監督連邦サービスとも呼ばれ、ロシア政府の主要なメディアおよびインターネット規制機関です」と研究者は述べている。「この規制当局は、独立系メディアの検閲や国家統制の強化で以前から批判されています。」
Silent Pushの研究者は、複数の偽情報ウェブサイト間で共通するコードや、2つの専用IPアドレスに関連するドメインを特定し、「このキャンペーン全体でインフラの再利用や共通の所有権があることを示唆している」と述べている。
これら2つのIPアドレスは少なくとも2022年から偽情報キャンペーンに使用されており、前述のAbsatzと関連付けられていた。また、技術的な足跡が2022年と2025年のロシア偽情報ウェブサイトでのみ発見されたことから、Silent Pushは両キャンペーン間に開発者のつながりがあると結論付けた。
さらにブログ記事では、Absatzが自身のウェブサイトによれば「Shakhnazarov M. S.」という人物によって運営されているとされており、これはロシア在住でウクライナ侵攻を支持したことで同国から制裁を受けたとされるプロパガンダ担当者、Shakhnazarov Mikhail Sergeyevichを指している可能性が高いと指摘している。
ロシアの偽情報キャンペーンをさらに深掘り
Silent Pushは運用上のセキュリティを考慮し、特定の技術的指紋を公表しないことを決定した。Silent Pushの脅威インテリジェンスディレクター、Kasey Best氏はDark Readingに対し、その理由の一つは「技術的指標が十分に分かりにくく、今後もこのネットワークや他のネットワークによって再利用される可能性がある」ためだと語った。
Dark ReadingはBest氏に、ロシアがこのような脅威活動を行っているのであれば、なぜさらに踏み込まないのか、なぜロシアは自らのウェブサイトにインフォスティーラーや他の悪意あるトラッカーを仕込まないのかと質問した。
「多くの理由があります」と彼は述べ、マルウェアがセキュリティコミュニティ全体から望ましくない注目を集めることなどを挙げた。マルウェアの存在は、法的枠組みが偽情報サイトを妨害する障壁を取り除き、ホスティングプロバイダーに対しても対応を迫る追加の圧力となる。
「心理作戦の世界では、特定の影響キャンペーンが発見されずに長く続けば続くほど価値が高まります。したがって、必ずしも無害なネットワークだけが使われるとは限りませんが、他にも考慮すべき要素があります」とBest氏は説明する。「このため、インフォスティーラーなどを組み込むかどうかは、運用者の視点からリスクとリターンの判断となります。」