日本語
English
Français
Deutsch
Español
Italiano
Português
한국어
Русский
ホームページロシアで最も独創的なハッカーグループ、トゥルラの地下の歴史
アンディ・グリーンバーグ
欧米のサイバーセキュリティ情報アナリストに、国家支援の外国ハッカーの「お気に入り」グループは誰なのか、つまり彼らがしぶしぶ賞賛し、熱心に研究せずにはいられない敵対者は誰かと尋ねると、ほとんどの者は、その代表として活動している多数のハッカーグループの名前を挙げようとはしないだろう。中国とか北朝鮮とか。 サプライチェーン攻撃を厚かましく繰り返す中国のAPT41でも、大規模な暗号通貨強盗を実行する北朝鮮のLazarusハッカーでもない。 ロシアの悪名高いサンドワームハッカーグループが送電網や破壊的な自己複製コードに対して前例のない停電サイバー攻撃を行ったにもかかわらず、ほとんどの人はそのことを指摘することさえしないだろう。
その代わりに、コンピュータ侵入の専門家は、さまざまな形で、他のどのネットワークよりもはるかに長い間、静かに西側諸国のネットワークに侵入してきたはるかに巧妙なサイバースパイ チーム、Turla として知られるグループの名前を付ける傾向があります。
先週、米国司法省とFBIは、50カ国以上のコンピュータにSnakeとして知られるマルウェアを感染させたTurla(Venomous BearやWaterbugなどの名前でも知られる)による作戦を解体したと発表した。米国の政府機関は、ロシアのFSB情報機関の「最高のスパイ活動ツール」と表現している。 Turla のハッキングされたマシンのネットワークに侵入し、マルウェアに自身を削除するコマンドを送信することで、米国政府は Turla の世界的なスパイ活動に重大な挫折を与えました。
しかし、その発表の中で、そして作戦遂行のために提出された法廷文書の中で、FBIと司法省はさらに踏み込んで、トゥルラがFSBのセンター16で働いていることを明らかにした昨年のドイツ人ジャーナリストグループの報道を初めて公式に認めた。モスクワ郊外のリャザンのグループ。 また、これは、Turla がトップのサイバースパイ部隊として信じられないほど長生きしていることを示唆しています。FBI が提出した宣誓供述書には、Turla の Snake マルウェアが 20 年近く使用されていたと記載されています。
実際、Turla はおそらく少なくとも 25 年間活動してきたと、ジョンズ・ホプキンス大学の戦略研究教授でサイバーセキュリティ史家のトーマス・リッド氏は述べています。 同氏は、米国を標的とした諜報機関による史上初のサイバースパイ作戦、「として知られる複数年にわたるハッキング作戦」を実行したのは、トゥルラ、あるいは少なくとも今日私たちが知るグループとなる一種のトゥルラの原型だったという証拠を指摘している。月光迷路。
その歴史を考慮すると、FBI によるツールキットの最新の破壊の後でも、このグループは絶対に戻ってくるだろうとリッド氏は言う。 「Turla はまさに典型的な APT です」と Rid 氏は言います。「Advanced Persistent Threat」の略語を使います。この用語は、サイバーセキュリティ業界が国家支援のエリートハッカーグループに対して使用する用語です。 「そのツールは非常に洗練されており、ステルスであり、執拗です。四半世紀がそれを物語っています。本当に、それは敵のナンバーワンです。」
その歴史を通じて、Turla は何年にもわたって影から姿を消し、米国国防総省、防衛請負業者、欧州政府機関など、厳重に保護されたネットワーク内に再び姿を現すということを繰り返してきました。 しかし、その寿命の長さ以上に、USB ワームから衛星ベースのハッキング、他のハッカーのインフラストラクチャのハイジャックに至るまで、Turla がその 25 年間で優れていたのは、絶えず進化する技術的創意工夫であると、脅威インテリジェンスを率いる Juan Andres Guerrero-Saade 氏は述べています。セキュリティ企業SentinelOneの調査。 「Turla を見てみると、何というか、彼らはこの驚くべきことを行い、これとは別のことを開拓し、これまで誰もやったことのない巧妙な手法を試し、それを拡張して実装するという複数の段階がありました」とゲレロ氏は言います。 -サード。 「彼らは革新的かつ実用的であり、それが彼らを追跡する上で非常に特別なAPTグループにしています。」
ブレンダ・ストーリヤー
ウィル・ナイト
WIREDスタッフ
メデア・ジョルダーノ
ここでは、国家主導のスパイ軍拡競争の始まりにまで遡る、トゥルラ氏の 25 年にわたるエリート デジタル スパイ活動の簡単な歴史を紹介します。
国防総省が米国政府システムへの一連の侵入を単一の広範囲にわたるスパイ活動として捜査し始めた時点で、それは少なくとも2年間続いており、大規模な規模で米国の機密を吸い上げていた。 1998 年、連邦捜査官は、謎のハッカー集団が米国海軍と空軍のネットワーク化されたコンピュータだけでなく、NASA、エネルギー省、環境保護庁、米国海洋大気庁、米国のいくつかの大学、その他多くの大学。 ある推定では、ハッカーの総運搬量は、ワシントン記念塔の高さの 3 倍の書類の束に匹敵します。
捜査に携わった元米国防総省諜報員ボブ・ゴーリー氏によると、防諜アナリストらは、ハッキング活動のリアルタイム監視と標的とした文書の種類に基づいて、ハッカーの出自がロシア人であると早い段階から信じていたという。 。 ゴーリー氏は、ハッカーたちの組織力と粘り強さが最も印象に残っていると語った。 「彼らは壁に到達すると、異なるスキルやパターンを持つ誰かが引き継いでその壁を突破するでしょう」とガーリー氏は言う。 「これは単なる数人の子供たちのものではありませんでした。これは十分な資金があり、国家の後援を受けた組織でした。国民国家がこれを行うのは本当に初めてでした。」
捜査関係者らは、Moonlight Maze ハッカー (FBI によって与えられたコード名) が被害者のシステムからデータを抜き出す際、Loki2 と呼ばれるツールのカスタマイズされたバージョンを使用し、そのコードを何年にもわたって継続的に微調整していたことを発見しました。 2016年、リッド氏とゲレロ・サード氏を含む研究者チームは、ムーンライト・メイズが実際にトゥルラの祖先の作品である証拠としてそのツールとその進化を挙げた。彼らは、トゥルラのハッカーが同様にカスタマイズされた独自のツールを使用していたケースを指摘した。完全に 20 年後、Linux ベースのシステムをターゲットにした Loki2 のバージョン。
月光迷路から10年後、トゥルラは再び国防総省に衝撃を与えた。 NSA は 2008 年に、国防総省米国中央軍の機密ネットワーク内からマルウェアが発信されていることを発見しました。 そのネットワークは「エアギャップ」、つまりインターネットに接続されたネットワークに接続できないように物理的に分離されていました。 しかし、何者かによって自己拡散する悪意のあるコードが感染し、すでに無数のマシンに自身をコピーしていました。 このようなことは、米国のシステムではこれまでに見られたことはありません。
NSA は、フィンランドのサイバーセキュリティ企業 F-Secure の研究者によって後に Agent.btz と名付けられたこのコードは、何者かがエアギャップ ネットワーク上の PC に差し込んだ USB サム ドライブから拡散したと考えるようになりました。 感染した USB スティックがどのようにして国防総省職員の手に渡り、米軍のデジタル内部聖域に侵入したのか、正確にはまだ解明されていないが、一部のアナリストは、USB スティックが単に駐車場に散乱していて、何の疑いも持たない職員によって拾われたのではないかと推測している。
ブレンダ・ストーリヤー
ウィル・ナイト
WIREDスタッフ
メデア・ジョルダーノ
Agent.btz による国防総省ネットワークの侵害は、米軍のサイバーセキュリティを刷新する複数年にわたる取り組み、「バックショット ヤンキー プロジェクト」のきっかけとなるほど広範囲に広まりました。 また、これは、国防総省ネットワークの保護を任務とする NSA の姉妹組織である US Cyber Command の創設にもつながりました。この組織は、現在、国内で最もサイバー戦争志向のハッカーの本拠地としても機能しています。
数年後の 2014 年、ロシアのサイバーセキュリティ企業カスペルスキーの研究者らは、Agent.btz と、後に Snake として知られるようになる Turla のマルウェアとの技術的なつながりを指摘しました。 カスペルスキーが当時ウロブロス、または単に Turla と呼んでいたこのスパイ活動マルウェアは、ログ ファイルに同じファイル名を使用し、暗号化に Agent.btz と同じ秘密キーの一部を使用していました。これが、この悪名高い USB ワームが実際に持っていた最初の手がかりでした。トゥルラの作品でした。
2010 年代半ばまでに、Turla は世界数十カ国のコンピュータ ネットワークにハッキングし、しばしば被害者のマシンに Snake マルウェアのバージョンを残していることが知られていました。 2014 年には、訪問者に感染させることを目的として Web サイトにマルウェアを仕掛ける「水飲み場」攻撃が使用されていることが明らかになりました。 しかし 2015 年、カスペルスキーの研究者らは、洗練さとステルス性についてグループの評判をさらに高めることになる Turla テクニックを発見しました。これは、衛星通信をハイジャックして、基本的に宇宙空間を介して被害者のデータを盗むものでした。
同年 9 月、カスペルスキーの研究者ステファン タナセ氏は、Turla のマルウェアが、ハイジャックされた衛星インターネット接続を介してコマンド アンド コントロール サーバー (感染したコンピュータにコマンドを送信し、盗まれたデータを受信するマシン) と通信していたことを明らかにしました。 タナセ氏が説明したように、Turla のハッカーは、実際の衛星インターネット加入者の IP アドレスを、その加入者と同じ地域のどこかに設置されたコマンド アンド コントロール サーバー上で偽装します。 次に、ハッキングされたコンピュータから盗んだデータをその IP に送信し、衛星経由で加入者に送信しますが、その方法では受信者のファイアウォールによってブロックされます。
しかし、衛星は上空から地域全体にデータをブロードキャストしていたため、トゥルラの指揮統制サーバーに接続されたアンテナもデータを受信することができ、トゥルラを追跡している誰もがそのデータを知る方法がありませんでした。コンピュータが存在する可能性のある地域。 タナセ氏によると、このシステム全体の追跡は非常に困難で、年間の運用コストは 1,000 ドル未満です。 彼はブログ投稿でそれを「絶妙」と表現した。
多くのハッカーは「偽旗」を使用し、別のハッカー グループのツールやテクニックを展開して、捜査員を追跡から外します。 2019年、NSA、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)、英国国家サイバーセキュリティセンターは、トゥルラがさらに進んでいることを警告した。トゥルラは、別のハッカーグループのインフラを黙って乗っ取り、スパイ活動全体を掌握したのだ。
共同勧告の中で、米国と英国の政府機関は、APT34 (またはオイリッグ) として知られるイランのグループが混乱を招くために使用するマルウェアを Turla が展開しているのを目撃しただけでなく、Turla が指揮命令系統の乗っ取りにも成功したことを確認したことを明らかにした。場合によってはイラン人をコントロールし、イラン人ハッカーが盗んでいたデータを傍受する能力を獲得し、イラン人がハッキングした被害者のコンピューターに独自のコマンドを送信することさえあった。
ブレンダ・ストーリヤー
ウィル・ナイト
WIREDスタッフ
メデア・ジョルダーノ
実際には、Turla または同様の悪意のあるグループが影から密かに操り人形の糸を引いている可能性があるにもかかわらず、これらのトリックは、特定のハッカー グループへの侵入を特定しようとするアナリストにとってハードルを大幅に引き上げました。 CISA勧告は当時、「イランのAPTに由来すると思われる活動を調査する際には警戒し、誤った帰属の可能性を回避する」と警告していた。 「もしかしたらトゥルラ一派が変装したのかもしれない」
サイバーセキュリティ企業マンディアントは今年初め、トゥルラがそのハッカーハイジャックの手口の別の亜種を実行し、今回はサイバー犯罪ボットネットを乗っ取って被害者をふるいにかけているのを発見したと報告した。
2022 年 9 月、マンディアントは、ウクライナのネットワーク上のユーザーが自分のマシンに USB ドライブを接続し、10 年前のバンキング トロイの木馬である Andromeda として知られるマルウェアに感染させたことを発見しました。 しかし、Mandiant がさらに詳しく調べたところ、そのマルウェアがその後、Mandiant が以前 Turla に関連付けていた 2 つのツールをダウンロードしてインストールしていたことが判明しました。 マンディアント氏が発見したところによると、ロシアのスパイたちは、アンドロメダの当初のサイバー犯罪管理者がマルウェアを制御するために使用していた期限切れのドメインを登録し、感染を制御する能力を獲得し、その後、何百ものドメインを検索してスパイ活動の対象になりそうなドメインを探していた。
この巧妙なハッキングには、Turla の特徴がすべて備わっていました。2008 年の Agent.btz で行われたように、USB ドライブを使用して被害者に感染するというものでしたが、現在は、別のハッカー グループの USB マルウェアをハイジャックしてその制御を奪うというトリックと組み合わされています。トゥルラは数年前にイランのハッカーと協力していた。 しかしカスペルスキーの研究者らは、マンディアントがこの作戦をトゥルラと結び付けるために使用したウクライナのネットワークで見つかった2つのツールは、実際にはトミリスと呼ばれる別のグループの兆候である可能性がある、おそらくトゥルラが別のロシア国家グループとツールを共有している兆候である可能性があると警告した。あるいは、現在は複数のハッカーチームに進化しているとも。
先週、FBIはトゥルラに対して反撃したと発表した。 Turla's Snake マルウェアで使用されている暗号化の弱点と、FBI が感染したマシンから調査したコードの残骸を悪用することで、FBI は Snake に感染したコンピュータを特定するだけでなく、それらのマシンにコマンドを送信することもできるようになったと発表しました。マルウェアは、それ自体を削除する命令として解釈します。 ペルセウスと呼ばれる開発したツールを使用して、世界中の被害者のマシンからスネークを削除しました。 CISA とともに、FBI はまた、Turla's Snake が他の Snake に感染したマシンや Turla のコマンド&コントロール サーバーとの通信を隠すために、独自のバージョンの HTTP および TCP プロトコルを介してデータを送信する方法を詳しく説明した勧告を発表しました。
この混乱は、国防総省が Agent.btz を発見する前の 2003 年の初めから、スネークを使って世界中の被害者からデータを盗み続けてきたターラのハッカーたちの長年の仕事を台無しにすることは間違いありません。 このマルウェアは、ピアツーピア ネットワーク内の被害者間で巧妙に隠蔽されたデータを密かに送信できるため、Turla のスパイ活動の重要なツールとなりました。
ブレンダ・ストーリヤー
ウィル・ナイト
WIREDスタッフ
メデア・ジョルダーノ
しかし、たとえマルウェアを完全に根絶できたとしても、スネーク ネットワークの解体が、ロシアで最も回復力のあるハッカー グループの 1 つの終焉を意味するだろうと、誰も自分を欺いてはなりません。 ジョンズ・ホプキンス大学のリッドは、「彼は最高の俳優の一人であり、いたちごっこが続くことに何の疑いもありません」と語る。 「他の誰よりも、彼らは進化の歴史を持っています。彼らの作戦、戦術、技術に光を当てると、彼らは進化し、再編成され、再びよりステルスになろうとします。それが1990年代に始まった歴史的なパターンです。」
「彼らにとって、タイムラインのギャップは特徴なのです」とリッド氏は付け加え、トゥルラ氏のハッキング技術がニュース記事やセキュリティ研究者の論文からほとんど取り上げられなかった期間は、場合によっては数年に及ぶこともあったと指摘した。
25年前に月光迷路の真っただ中で諜報員としてトゥルラを追ったガーリーに関しては、FBIの作戦を称賛している。 しかし同氏は、一部のスネーク感染者を倒すことと、ロシア最古のサイバースパイチームを倒すことは大きく異なるとも警告する。 「これは無限のゲームです。彼らがまだそれらの星系に戻っていないとしても、すぐに戻ってくるでしょう」とガーリー氏は言います。 「彼らは消えません。これはサイバースパイの歴史の終わりではありません。彼らは間違いなく、間違いなく戻ってきます。」