FBIは金曜日、メッセージングプラットフォームに関するロシア・イラン系のサイバーキャンペーンについて、2つの別々の通知で警告を発しました。
ロシアの諜報機関は、Signalなどの商用アプリケーションをターゲットにしており、現職および元米国政府高官、軍関係者、政治家、ジャーナリストのアカウントを侵害していると言われています。
FBIはサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)と共に、このグローバルキャンペーンが「数千のアカウントへの不正アクセス」をもたらしたと述べています。
ロシアの行為者は、自動サポート通知のように見せかけたフィッシングメッセージを送信しています。このメッセージは、被害者がリンクをクリックしたり、確認コードやアカウントPINを提供したりするなどのアクションを取る必要があると思わせるように設計されています。
「ユーザーがリクエストされたアクションを実行すると、攻撃者のデバイスをリンク済みデバイスとして追加するか、完全なアカウント乗っ取りを通じて、行為者にアカウントへの不正アクセスを意図せずに提供することになります。キャンペーンが進化するにつれて、行為者は被害者に感染するマルウェアなどの追加の手法を使用する可能性があります。」と機関は述べています。
「アカウントが侵害された後、悪意のある行為者は被害者のメッセージと連絡先リストを表示し、メッセージを送信し、他の[メッセージング]アカウントに対して追加のフィッシングを実施することができます。」
通知はSignalアカウントに焦点を当てていますが、FBIはこれが任意のメッセージングアプリに適用される可能性があると述べています。彼らは人々に未検証のメッセージに注意するよう促し、「個人のサイバーセキュリティを強化する」よう求めています。勧告は、Signalおよび他のメッセージングアプリに脆弱性がなく、キャンペーンはユーザー自身を侵害することによって暗号化を回避するように特別に設計されていることを改めて述べています。
昨年の議会証言の中で、国家情報長官のトゥルシ・ギャバード氏は、中国のハッカーによる米国通信ネットワークへの侵害の後、CISAが発表した昨年発表されたガイダンスに言及し、「標的となる可能性が高い個人」に「エンドツーエンド暗号化通信」の使用を促しています。彼女はSignalが連邦政府のデバイスにプリインストールされていることに言及しました。
12月、ドナルド・トランプ大統領は、国防長官がDOD上級指導者にデータ暗号化を含む「強化されたサイバーセキュリティ保護」を備えたモバイルフォンを提供することを要求するペンタゴンの政策法案に署名しました。
ペンタゴンの監察総長が以前に発表した報告書では、国防長官のピート・ヘグセス氏がSignalを使用して当時保留中だったイエメンへの米国軍事攻撃について議論した際に、既存の部門規則を破り、可能性として軍隊を危険にさらしたことが判明しました。
ドナルド・トランプ大統領が昨年就任した後、ジャーナリストが誤って追加された後、イエメンのフーシ武装勢力への攻撃の前に内閣レベルの高官間のSignal会話の完全な記録を『The Atlantic』がリリースしました。チャットメンバーは攻撃のタイミングと使用された航空機の種類について率直に話しました。
もう1つの監視機関の報告書では、国防総省が機密操作の調整に役立つセキュアなメッセージングプラットフォームが不足していると結論づけました。
Handala Hack
FBIは金曜日、イランの情報保安省(MOIS)がメッセージングプラットフォームTelegramをインフラストラクチャとして使用し、イランの異議を唱える者、ジャーナリスト、その他の人々のデバイスに感染するマルウェアと通信している方法を詳述した別のフラッシュアラートを発表しました。
マルウェアはMOISに情報を盗み、標的にされている人々を監視することを可能にします。脅威行為者はWindowsマシンで一般的に使用されているプログラムまたはサービスのようにマルウェアを見せかけました。感染したデバイスはTelegramのボットに接続されており、「被害者デバイスからスクリーンキャプチャまたはファイルを流出させるためのリモートユーザーアクセスを有効にしました。」
FBIはTelegramの使用を、最近医療機器会社Strykerへの攻撃の責任を主張したHandala Hackとして知られるイランのグループに直接結びつけました。
機関は、マルウェアは場合によっては最初にAIビデオジェネレーターPictory、パスワードマネージャーKeePass、またはTelegramに見えるように作られていたと述べ、その後それが開かれ、政府管理のTelegramボットに接続され、「侵害されたデバイスとapi.telegram[.]org間の双方向通信」を可能にしました。
少なくとも1人の被害者はソーシャルメディアメッセージングアプリを通じて連絡を受けており、ハッカーはアプリの技術サポートの一部として偽装していました。
イランのサイバー行為者は「その後、被害者に偽装ステージ1マルウェアで構成されたファイル転送を受け入れるよう説得しました。」
被害者のシステムに初期アクセスが確立されると、追加のマルウェアがダウンロードされました。
マルウェアは、スクリーンおよびオーディオ記録、キャッシュキャプチャ、ファイル圧縮、ファイル削除など、その他を可能にしました。
「複数の観察に基づいて、マルウェアのステージ1は、被害者がマルウェアをダウンロードする可能性を高めるために被害者のライフパターンに合わせて調整されているようで、イランのサイバー行為者が被害者と関わる前に標的偵察を実行した可能性が高いことを示しています。」と勧告は述べています。
複数の専門家は、侵害の重要なリンクとしてTelegramを使用することが、それをコマンドアンドコントロールインフラストラクチャとして使用するサイバー犯罪者および国家支援の行為者の間で増加傾向にあると述べています。
SOCRadarのCISO、エンサー・セカー氏は、Telegramが脅威行為者に悪意のあるトラフィックを信頼できる、暗号化されたプラットフォームにブレンドすることを可能にしていると述べています。
「Telegramのような広く使用されているアプリケーションを活用することにより、Handalのようなグループは、セキュリティコントロールがデフォルトでこのトラフィックを許可するようにチューニングされることが多いため、検出の可能性を大幅に減らします」とセカー氏は述べています。
「より大きな意味は、暗号化されたメッセージングプラットフォームが通信と秘密作戦の両方のためのデュアルユース インフラストラクチャになっているということです。セキュリティチームは信頼の仮定を再評価し、ログ、異常検出、厳格なアクセスポリシーを含む、認可されたアプリの周辺に可視性コントロールを実装する必要があります。」
前の記事なし
新しい記事なし
翻訳元: https://therecord.media/russia-iran-cyber-fbi-hacks
