ウクライナに対するロシアの攻撃の前には、多くのサイバー脅威がありました。分散型サービス拒否 (DDoS) 攻撃で、ウクライナ政府の Web サイトや金融サービス プロバイダーが散発的に妨害されました。 備えるべき歴史から何を学べるでしょうか。 2007 年から 2022 年までのタイムライン。ソフォスの主任研究員であるチェスター ウィスニエフスキーによる解説。
「すべての企業は、常にあらゆる方向からの攻撃に備える必要があります。 しかし、攻撃のリスクが高まったときに何を探すべきかを知っておくと役立ちます。 私は、サイバー環境におけるロシア国家の既知または疑わしい活動の歴史を見直し、予想される活動の種類と、組織がどのように準備できるかを評価することを決定しました.」 ソフォスのチェスター・ウィスニエフスキー。
サービス妨害攻撃の不安定化
知られている最も古い活動は、26 年 2007 月 XNUMX 日、エストニア政府がソビエト連邦によるエストニアの解放を記念する像をナチスからあまり目立たない場所に移動したときまでさかのぼります。 この行動は、エストニアのロシア語を話す人口を激怒させ、モスクワとの関係を不安定にしました。 その後まもなく、街頭での暴動、モスクワのエストニア大使館前での抗議行動、エストニア政府と金融サービスの Web サイトへの DDoS 攻撃の波が発生しました。
DDoS 攻撃に参加するための完全に準備されたツールと手順が、銅像が設置された直後にロシアのフォーラムに登場しました。 これらの攻撃は、大統領、議会、警察、政党、および主要な報道機関に属する Web サイトを標的としていました。
他の「ロシアの愛国者」がエストニアを罰するのを助けるために呼び出されましたが、これは道具と標的のリストを持ってどこからともなく現れた草の根運動*ではありませんでした. 同じ戦術が後にアノニマスによって使用され、低軌道イオン キャノン (LOIC) と呼ばれるツールを使用してウィキリークスを防御しました。
2007年以降の取り組み
4 年 2007 月 XNUMX 日、攻撃は激化し、銀行も標的にされました。 ちょうど XNUMX 日後の真夜中に、攻撃は始まったときと同じように突然終了しました。 全員が即座にロシアを非難したが、それを分散型サービス拒否攻撃に帰することはほぼ不可能だ. 現在、これらの DDoS 攻撃は、ロシアの悪名高い組織犯罪グループであるロシア ビジネス ネットワーク (RBN) の仕業であり、スパム、ボットネット、製薬アフィリエイト プログラムと関係があると広く信じられています。 彼らのサービスは明らかに、これらの攻撃を実行するためにちょうど XNUMX 週間「従事」していました。
19 年 2008 月 XNUMX 日、DDoS 攻撃の新しい波が始まり、 ジョージア州のニュースと政府の Web サイトをターゲットにする. これらの攻撃は、8 年 2008 月 XNUMX 日にロシア軍が南オセチアの分離主義州に侵攻したときに、不思議なことに劇的に激化しました。 攻撃は当初、グルジアのニュースや政府のサイトに向けられていましたが、後に金融機関、企業、教育機関、西側のメディア、グルジアのハッキング Web サイトにも向けられました。
エストニアに対する以前の攻撃と同様に、標的のリストと一連のツールとその使用方法が記載された Web サイトが表示されました。 ここでも、攻撃をグルジアの侵略に抵抗した「愛国者」に帰する試みがなされました。 しかし、実際の攻撃トラフィックのほとんどは、RBN によって制御されていると考えられている既知の大規模なボットネットからのものでした。
デジタル改ざんとスパム
ジョージアへの攻撃には、Web サイトの改ざんや、ジョージアの受信トレイを詰まらせるように設計された大規模なスパム キャンペーンも含まれていました。 これらすべてが、ジョージア自身の防衛と統治能力に対する信頼を揺るがし、政府が市民や外界と効果的にコミュニケーションすることを妨げているようです。
それから 2009 年もたたない XNUMX 年 XNUMX 月、キルギスタンで別の一連の DDoS 攻撃が始まりました。 これは、キルギス政府が自国の米国空軍基地のリースを延長することを決定したのと同時に起こりました。 事故? RBN が再び行動を起こしているように見えたが、今回は「愛国者」がデジタルの意見を表明したための策略ではなかった。
これは、最近の動的紛争である 2014 年のクリミア侵攻につながります。
偽情報と隔離
2009 年以来、ウクライナに対して低レベルの情報戦争が繰り広げられており、多くの攻撃は、NATO 首脳会議や連合協定に関するウクライナと EU の交渉など、ロシアの利益に対する脅威と解釈される可能性のある出来事と一致しています。
2014 年 2013 月、The New York Times は、ウクライナで反政府抗議行動が始まると、Snake マルウェアがウクライナの首相官邸といくつかの遠隔地の大使館に侵入したと報じました。 2014 年後半から XNUMX 年前半にかけて、ESET は軍事目標とメディアへの攻撃を文書化した調査を公開しました。これは Operation Potao Express と呼ばれています。
前回同様、「Cyber Berkut」と呼ばれる土着のサイバー集団によるDDoS攻撃やWeb改ざんが行われましたが、大きな被害はありませんでした。 しかし、それは多くの混乱を引き起こし、それだけで紛争の時代に影響を与えました.
紛争が始まった当初、記章を持たない兵士がクリミアの電気通信ネットワークと地域で唯一のインターネット ハブを支配し、情報が凍結されました。 攻撃者はセルラー ネットワーク アクセスを悪用して、反ロシアの抗議者を特定し、「加入者の皆様、あなたは大規模な暴動の参加者として登録されています」というテキスト メッセージを送信しました。
攻撃者は、クリミアの通信能力を遮断した後、ウクライナ議会の議員の携帯電話を偽装し、侵略に効果的に対応できないようにしました。 Military Cyber Affairs で指摘されているように、偽情報キャンペーンは本格化していました。
「あるケースでは、ロシアは複数の異なる Web ID を持つために 126 人の人物に支払いました。 サンクトペテルブルクの XNUMX 人の俳優は、XNUMX のブログを持つ XNUMX 人の異なるブロガーとして行動し、同時に他の Web サイトにコメントしたと述べました。 別の人は、ニュースやソーシャル メディアに XNUMX 時間ごとに XNUMX 回コメントするために雇われました。」
壊滅的な電源
23 年 2015 月 XNUMX 日、イバノ フランキーフスク (ウクライナ) の住民の約半数が突然停電に見舞われました。 これは、ロシア政府が支援するハッカーの仕業であると広く信じられています。 最初の攻撃は、停電の XNUMX か月以上前に始まりました。XNUMX つの配電センターの従業員が、BlackEnergy と呼ばれるマルウェアをインストールするように設計されたマクロを含む、感染した Microsoft Office ドキュメントを開いたときです。
攻撃者は、SCADA (Supervisory Control and Data Acquisition) ネットワークのデータにリモート アクセスし、変電所の制御を制御してサーキット ブレーカーを開くことに成功しました。 次に、リモコンを侵害して、スイッチを閉じて電源を回復できないようにしました。 さらに、攻撃者は「ワイパー」を使用して、ネットワークを制御するために使用されているコンピューターを破壊すると同時に、電話によるサービス拒否 (TDoS) 攻撃を実行し、顧客サービス番号をあふれさせ、停止を報告しようとした顧客が被害を受けました。欲求不満。
ほぼ 17 年後の 2016 年 XNUMX 月 XNUMX 日、キエフで再び明かりが消えました。 事故? おそらくそうではありません。
今回のマルウェアは Industroyer/CrashOverride と呼ばれ、はるかに洗練されたものでした。 このマルウェアには、ネットワークをスキャンして SCADA コントローラーを見つけ、その言語を話すことができるモジュラー コンポーネントが装備されていました。 また、システムを消去するためのワイパー コンポーネントも備えていました。 この攻撃は、BlackEnergy や有名なワイパー ツールである KillDisk とは無関係のように見えましたが、誰が背後にいるのかは疑いの余地がありませんでした。
電子メールによる開示
2016 年 2.0 月、ヒラリー・クリントンとドナルド・トランプの間の緊密な大統領選挙戦中に、民主党全国委員会をハッキングし、その電子メールを Wikileaks に転送したと主張する Guccifer 2016 と呼ばれる新しい人物が現れました。 正式にはロシアの仕業とはされていませんが、XNUMX 年の選挙中に他の偽情報キャンペーンとともに浮上し、クレムリンの手であると広く信じられています。
サプライ チェーン攻撃: NotPetya
ウクライナに対するロシアの執拗な攻撃はまだ終わっておらず、27 年 2017 月 XNUMX 日、ロシアは NotPetya と呼ばれる新しいマルウェアをリリースして状況を悪化させました。 新しいランサムウェアを装った NotPetya は、ウクライナの会計ソフトウェア プロバイダーのハッキングされたサプライ チェーンを介して配布されました。 実際、これはランサムウェアではありませんでした。 コンピューターを暗号化しましたが、復号化できず、事実上デバイスをワイプし、使用できなくなりました。
被害者はウクライナの企業に限られたものではありませんでした。 マルウェアは数時間で世界中に広がり、主にウクライナで活動している組織に影響を与えました。 NotPetya は、世界中で少なくとも 10 億ドルの被害をもたらしたと推定されています。
偽旗の下で
平昌冬季オリンピックが 9 年 2018 月 XNUMX 日に開幕すると、別の攻撃が差し迫っており、世界を不安に陥れました。 マルウェア攻撃により、オリンピック ネットワーク全体のすべてのドメイン コントローラーが無効になり、WiFi からチケット オフィスまで、すべてが正常に機能しなくなりました。 奇跡的に、IT チームはネットワークを分離し、復元してシステムからマルウェアを削除することができ、翌朝にはすべてがエラーなしで再び機能していました。
次に、マルウェア分析を実行して、オリンピア ネットワーク全体を攻撃してシャットダウンしようとしている人物を突き止めました。 マルウェアの帰属を特定することは困難ですが、参考になる手がかりや、関与していない第三者を示す誤った手がかりがいくつかありました。 「証拠」は北朝鮮と中国を指しているように見えたが、北朝鮮を非難するにはあまりにも明白だった. 最終的に、Kaspersky Lab の Igor Soumenkov は、優れた探偵の仕事で、モスクワを直接指し示す有力な手がかりを見つけました。
数年後、2020 年の休暇が終わる直前に、多くの米国連邦政府機関を含む世界中の大規模および中規模企業のネットワーク インフラストラクチャを管理するために使用される SolarWinds Orion ソフトウェアを標的とするサプライ チェーン攻撃が知られるようになります。 ソフトウェアの更新メカニズムが乗っ取られ、バックドアのインストールに使用されました。
密かにインストールされたバックドアによって提供されるアクセスと被害者の卓越性が相まって、この攻撃はおそらく現代史上最大かつ最も被害の大きいサイバースパイ攻撃の XNUMX つになっています。
米国連邦捜査局 (FBI)、サイバーセキュリティおよびインフラストラクチャ セキュリティ庁 (CISA)、国家情報長官室 (ODNI)、および国家安全保障局 (NSA) は、共同声明を発表し、彼らの調査が次のことを示している.. :
「…ロシア起源である可能性が高い高度で持続的な脅威アクターは、政府および非政府ネットワークに対する最近発見された進行中のサイバー攻撃のほとんどまたはすべてに責任があります。 現時点では、これは諜報活動であり、今後もそうであると考えています。」
2022年のロシアのサイバー紛争
2022 年には、サイバー政治的緊張が再び高まり、批判的なテストが行われようとしています。 13 年 14 月 2022 ~ XNUMX 日、多数のウクライナ政府の Web サイトが改ざんされ、ランサムウェアを装ったマルウェアにシステムが感染しました。
これらの攻撃のいくつかのコンポーネントは、過去を彷彿とさせます。 マルウェアはランサムウェアではなく、 洗練されたワイパーだけ、 NotPetya 攻撃で使用されます。 さらに、ウクライナの反体制派またはポーランドのパルチザンの仕業である可能性を示唆する、多くの誤った手がかりが残されています。 気を散らしたり、混乱させたり、否定したり、分裂させようとしたりすることは、今や標準的なレパートリーのようです.
15 年 2022 月 XNUMX 日火曜日、一連の DDoS 攻撃が、ウクライナ政府と軍事施設、およびウクライナ最大の XNUMX つの銀行に対して開始されました。 前例のない動きで、ホワイト ハウスはすでに一部の諜報情報の機密を解除し、攻撃がロシアの GRU によるものであるとしています。
ロシアのサイバー戦プレイブック
今何? 状況がさらにエスカレートするかどうかに関係なく、サイバー攻撃は確実に継続します。 2014 年の Viktor Yanukovych の追放以来、ウクライナは、さまざまな程度の浮き沈みのある攻撃の絶え間ない集中砲火に直面してきました。
2010年からのロシアの公式「ロシア連邦の軍事教義」によると: 「軍事力を使用せずに政治的目標を達成するための情報戦作戦の事前の実施、およびその後の軍事力の使用に対する世界社会による積極的な対応の利益のために。」
これは、以前の紛争前の行動の継続を示唆しており、DDoS 攻撃は差し迫った動的反応の潜在的な兆候となります。 情報戦により、クレムリンは、ウクライナやその他の標的での行動に対する世界の反応を誘導しようとすることができます。
ミストラッキング、ミスアトリビューション、混乱したコミュニケーション、およびソーシャル メディアの操作はすべて、ロシアの情報戦争の概念の重要な要素です。 地上やその他の場所での活動に恒久的なカモフラージュを提供する必要はありませんが、他の並行操作が目標を達成できるように、十分な遅延、混乱、および矛盾を提供するだけです。
準備と保護
興味深いことに、米国と英国は、その効果を制限する可能性のある誤報キャンペーンの一部を未然に防ごうとしています。 ただし、攻撃者が攻撃をやめるとは考えないでください。
たとえば、ウクライナの近隣諸国の組織は、ウクライナで直接活動していなくても、オンライン詐欺に巻き込まれることに備えておく必要があります。 以前の攻撃と誤った情報は、エストニア、ポーランド、およびその他の国境を接する州に漏洩しましたが、巻き添え被害にすぎません. グローバルな観点からは、ロシアの多くの「愛国的な」フリーランサー、つまりランサムウェア犯罪者、フィッシング作者、ボットネット オペレーターが、反母国と見なされた標的に対して通常よりもさらに熱心に行動することが予想されます。
ロシアが NATO 加盟国を直接攻撃し、第 XNUMX 条の制定を危険にさらす可能性は低い。 しかし、ロシア連邦と独立国家共同体 (CIS) のパートナー国外で活動する犯罪者を封じ込めようとするロシアによる最近の動きは終焉を迎え、代わりに脅威が増大するでしょう。
多層防御は世界で最も普通のことですが、攻撃の頻度と深刻度の増加に直面している場合は特に重要です。 誤った情報とプロパガンダはすぐにピークに達しますが、紛争のサイクルが弱まるにつれて、ハッチを閉じてネットワークを監視し、警戒を怠らないようにする必要があります。 ご存知のように、ロシアとウクライナの紛争に関連するデジタル侵入の証拠が現れるまでに数か月かかることがあります。
ソフォスのプリンシパル リサーチ サイエンティスト、Chester Wisniewski (画像: Sophos)。
著者について チェスター・ウィスニエフスキー
Chester Wisniewski は、次世代セキュリティ ソリューションのリーディング プロバイダである Sophos のプリンシパル リサーチ サイエンティストです。 彼は20年以上の専門的な経験を持っています。
チェスターは、SophosLabs が収集した膨大な量の攻撃データを分析して関連情報を抽出および共有し、進化する脅威、攻撃者の行動、および効果的なセキュリティ対策について業界がよりよく理解できるようにします。 企業がエンタープライズ規模の防御戦略を策定するのを支援し、ソフォス初の電子メール セキュリティ アプライアンスの開発でテクニカル リードを務め、いくつかの最大級のグローバル ブランドのセキュリティ計画についてアドバイスを行ってきました。
チェスターはバンクーバーを拠点とし、RSA Conference、Virus Bulletin、Security BSides (バンクーバー、ロンドン、ウェールズ、パース、オースティン、デトロイト、ロサンゼルス、ボストン、カルガリー) などの業界イベントで定期的に講演を行っています。 業界トップのセキュリティ研究者の XNUMX 人として認められており、BBC ニュース、ABC、NBC、ブルームバーグ、CNBC、CBC、NPR などの報道機関から定期的に相談を受けています。
サイバー犯罪と戦っていないときは、料理をしたり、自転車に乗ったり、InfoSec BC でのボランティア活動を通じてセキュリティの初心者を指導したりしています。 チェスターは Twitter (@chetwisniewski) を利用しています。
詳細は Sophos.com をご覧ください
ソフォスについて ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。