ウクライナのサイバー当局者が、ロシア国家に関連するハッカー集団に起因する長期的なサイバースパイ活動の標的となった複数の地方政府機関を確認した。
ウクライナの特別通信情報保護国家庁(SSSCIP)の情報通信部門長であるタラス・ジュバは、Recorded Future Newsに対し、当局は西側の研究者がウクライナの検察官と捜査官に属するメールアカウントが侵害されたと述べている攻撃を認識していることを述べた。
今週初め、ロイターはロシアに関連するハッカーが、最近数ヶ月間にウクライナ全域の検察官と捜査官に属する170以上のメールアカウントに侵入したと報じた。
ジュバによれば、ロイターの報告書で説明されている活動は、ウクライナ当局が2023年以来追跡している広範なキャンペーンの一部であるように見える。ウクライナのコンピュータ緊急対応チーム(CERT-UA)は、同じキャンペーンの一部を形成する可能性がある3波の攻撃を特定した。
侵入は、オープンソースのRoundcubeウェブメールプラットフォームの脆弱性を悪用し、被害者が受信箱でメールを開いただけで攻撃者が悪意のあるコードを実行できるようにした。リンクをクリックしたり添付ファイルをダウンロードする必要はない。
ジュバは、これらの攻撃中にウクライナの複数の国家機関から盗まれたと思われるいくつかの情報が3月初めにオンラインで公開されたと述べたが、漏洩した資料は機密データを含まない可能性が高いと付け加えた。
彼はロシアがこれらのサイバーインシデントをウクライナ機関の信用を傷つけることを目的とした偽情報キャンペーンの基礎として使用する可能性があると述べた。
ロイターの報告書で引用されたCtrl-Alt-Intelの研究者は、キャンペーンをハッキンググループAPT28(Fancy Bear、BlueDelta、またはForest Blizzardとしても知られている)に帰した。西側政府とサイバーセキュリティ企業は、これがロシアの軍事情報機関であるGRUと関連していると広く信じている。
ジュバは、すべての兆候がこのグループを指していることを確認した。CERT-UAは以前、Roundcube脆弱性を悪用した複数のAPT28攻撃を報告している。
Ctrl-Alt-Intelの報告書によれば、最新キャンペーンのほとんどの被害者はウクライナにいたが、侵害されたアカウントの一部はルーマニア、ブルガリア、ギリシャ、セルビアを含む隣接するNATO加盟国とバルカン半島にリンクしていた。
報告された影響を受けたウクライナ機関の中には、特別反汚職検察局(SAP)と資産回収管理庁(ARMA)がおり、後者は犯罪者とロシアの協力者から押収された資産を監督している。
ARMAの代理頭首であるヤロスラバ・マキシメンコは木曜日に、同庁の従業員がロシアのサイバー攻撃の標的になったことを確認したが、ハッカーが内部システムへのアクセスに失敗したと述べた。
「査察により、内部情報システムへのアクセスが得られず、データベースまたは国家情報資源からのデータ漏洩が発生しなかったことが確認された」と、マキシメンコはInterfax-Ukraineニュース通信社への声明で述べた。
SAPは今週初め、ロシアのハッカーが同庁を含むウクライナの法執行官に属する数十のメールアカウントを侵害したとの報告を受けて、査察を開始したと述べた。
これまでのところ、調査官はSAPシステムからデータが盗まれたという証拠を見つけていないが、査察は進行中である。
翻訳元: https://therecord.media/ukraine-confirms-suspected-apt28-campaign-targeting-prosecutors
