米国がサウジの石油施設と米国の原子力発電所をハックしたロシアのスパイ4人を起訴
今回は「米国がサウジの石油施設と米国の原子力発電所をハックしたロシアのスパイ4人を起訴」についてご紹介します。
関連ワード (反映、国防省、水飲等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
米司法省は、同国の原子力発電事業者やサウジアラビアの石油化学施設といった重要なインフラを標的とした数年にわたるハッキング活動で、ロシア政府職員4人を起訴したと発表した。
2021年6月の最初の起訴状は、ロシア国防省のプログラマーであるEvgeny Viktorovich Gladkikh(エフゲニー・ビクトロビッチ・グラッドキク、36歳)と2人の共謀者を、全世界のエネルギー施設で産業制御システムのハッキングを計画したとして起訴している。グラッドキクは2017年にサウジアラビアの石油化学プラントを標的とした悪名高いマルウェア「Triton」の背後にいると考えられており、それは2017年のサウジアラビアの石油化学工場に対する攻撃で使われている。ハッカーはこのマルウェアを使って、漏洩や爆発につながる危険な状態を防ぐために設計されたプラントの安全システムを無効化しようとした。Tritonは、2018年10月に初めてロシアに関連するものだとされた。
司法省によると、サウジの工場を爆破する計画に失敗したハッカーたちは、米国の同様に重要なインフラを管理する企業のコンピューターをハックしようとしたという。
2021年8月に提出された2件目の起訴状は、ロシア連邦保安局(FSB)の軍事ユニット71330のメンバーとされるPavel Aleksandrovich Akulov(パベル・アレクサンドロヴィッチ・アクロフ)とMikhail Mikhailovich Gavrilov(ミハイル・ミハイロビッチ・ガヴリロフ)、およびMarat Valeryevich Tyukov(マラト・ヴァレリエヴィッチ・チューコフ)が、2012年から2017年にかけてエネルギー分野を標的とした数々の攻撃で起訴されているものだ。セキュリティ研究者の間では「DragonFly」「Energetic Bear」「Crouching Yeti」として知られているこのハッカーは、石油・ガス会社、原子力発電所、公益・送電会社といった国際エネルギー分野の企業のコンピューターネットワークにアクセスしようとしたと、司法省は述べている。
2012年から2014年にかけて行われたこの攻撃の第一段階では、産業用制御機器メーカーやソフトウェアプロバイダのネットワークを侵害し、ソフトウェアアップデートにHavexマルウェアを隠蔽した。加えて、スピアフィッシングや水飲み場型攻撃(ユーザーがよく訪れるウェブサイトに感染させることでユーザーを狙う攻撃形態)により、攻撃者は米国内外の1万7000以上のデバイスにマルウェアをインストールしたとされている。
2度目の「DragonFly 2.0」と呼ばれる段階は2014年から2017年にかけて行われ、米国およびグローバルの500社ほどの企業のユーザー3300名以上が狙われた。その中には米国政府の原子力規制委員会やウルフリーク原子力発電所も含まれている。
米国の副司法長官Lisa Monaco(リサ・モナコ)氏は声明で次のように述べている。「ロシアが支えているハッカーは米国および世界の重要インフラにとって深刻で恒常的な脅威を与えている。本日の刑事告発は過去の活動を反映するものだが、米国企業が防御を強化し、警戒を続けることが緊急に必要であることを明確に示している」。
Mandiant(マンディアント)の諜報分析担当副社長John Hultquist(ジョン・ハルトキスト)氏によると、今回の起訴はロシアの国家主導型ハッキングの試みにおけるFSBの役割を垣間見ることができ、こうした破壊的サイバー攻撃を行うロシアの侵入集団に対する「警告射撃」であると述べている。また「これらの行動は個人的なものであり、起訴はプログラムのために働いている人には、当分の間、ロシアを離れるなと知らせるためのものだ」とハルトキスト氏はいう。
しかし、ハッカーはこれらのネットワークへのアクセス権を保持している可能性が高いとハルトキスト氏は警告する。「ハッカーが実際に破壊的な攻撃を行うのを見たことはなく、将来の不測の事態に備えて重要なインフラに潜り込んでいるだけです。最近の出来事で私たちが懸念しているのは、これが不測の事態になるかもしれないということです」。
Dragosの上級索敵員Casey Brooks氏はTritonマルウェアの背後にいるグループを「Xenotime」と呼び、TechCrunchの取材に対して「起訴がハッカーたちを思いとどまらせることはない」と言っている。
Tritonマルウェアの背後にいるグループを「Xenotime」と呼ぶDragosのシニアアドバーサリーハンターであるCasey Brooks(ケーシー・ブルックス)氏は、今回の起訴がハッカーたちを抑止することはないだろうと語る。
「これらの活動グループは、十分な資金を持ち、継続的に複雑なオペレーションを行うことができる。起訴状には、これらのグループの侵入活動の一部が詳述されているが、その幅はとても大きい。例えば、Xenotimeの場合、これは彼らの活動のほんの一部に過ぎないことがわかっている。これらのグループは現在も活動しており、おそらく起訴状はこれらのグループの今後の活動の抑止にほとんど役に立たないであろうことを認識することが重要だ」。
今回の起訴状公開は、ウクライナ侵攻によるロシアへの欧米制裁を受け、Joe Biden(ジョー・バイデン)大統領が米国企業に対するロシアのサイバー脅威が増大していると警告した3日後に行われたものだ。また、司法省がロシアの軍事情報機関であるGRUに所属するハッカー6人を起訴した数日後でもある。Sandwormと呼ばれるハッカーたちは、2017年に世界中の数百の企業や病院を標的とした破壊的なサイバー攻撃「NotPetya」やウクライナの電力網を停止させたサイバー攻撃など、5年間におよぶ一連の攻撃で告発されている。
画像クレジット:David McNew/Getty Images
【原文】
The U.S. Department of Justice has announced charges against four Russian government employees for a years-long hacking campaign targeting critical infrastructure, including a U.S. nuclear power operator and a Saudi petrochemical facility.
The first indictment, from June 2021, charges Evgeny Viktorovich Gladkikh, 36, a computer programmer at the Russian Ministry of Defense, and two co-conspirators, of planning to hack industrial control systems — the critical devices that keep industrial facilities operational — at global energy facilities. Gladkikh is believed to be behind the infamous Triton malware, which was used to target a petrochemical plant in Saudi Arabia in 2017. Hackers used the malware in an attempt to disable safety systems in the plant designed to prevent dangerous conditions that could lead to leaks or explosions. Triton was first linked to Russia in October 2018.
Following their failed plot to blow up the Saudi plant, the hackers attempted to hack the computers of a company that managed similar critical infrastructure entities in the U.S, according to the DOJ.
The second indictment, filed in August 2021, charges Pavel Aleksandrovich Akulov, Mikhail Mikhailovich Gavrilov and Marat Valeryevich Tyukov, all allegedly members of Military Unit 71330 of Russia’s Federal Security Bureau (FSB), with a number of attacks targeting the energy sector between 2012 and 2017. The hackers, better known to security researchers as “DragonFly,” “Energetic Bear” and “Crouching Yeti,” attempted to gain access to computer networks of companies in the international energy sector, including oil and gas firms, nuclear power plants and utility and power transmission companies, the DOJ said.
In the first stage of their attacks, which took place between 2012 and 2014, the threat actors compromised the networks of industrial control device makers and software providers, then hid Havex malware inside software updates. This, along with spearphishing and watering hole attacks — a form of attack that targets users by infecting websites that they commonly visit — enabled the attackers to install malware on more than 17,000 unique devices in the United States and abroad.
The second phase, “DragonFly 2.0,” ran from 2014 to 2017 and involved targeting more than 3,300 users at over 500 U.S. and international organizations, including the U.S. government’s Nuclear Regulatory Commission and the Wolf Creek Nuclear Operating Corporation.
“Russian state-sponsored hackers pose a serious and persistent threat to critical infrastructure both in the United States and around the world,” said U.S. Deputy Attorney General Lisa Monaco in a statement. “Although the criminal charges unsealed today reflect past activity, they make crystal clear the urgent ongoing need for American businesses to harden their defenses and remain vigilant.”
John Hultquist, vice president of intelligence analysis at Mandiant, said the indictments provide a glimpse of the FSB’s role in Russia’s state-sponsored hacking attempts, and come as a “warning shot” to the Russian intrusion groups who carry out these disruptive cyberattacks. “These actions are personal and are meant to signal to anyone working for these programs that they won’t be able to leave Russia anytime soon,” he said.
But Hultquist warned that the hackers likely retain access to these networks. “Notably, we have never seen this actor actually carry out disruptive attacks, just burrow into sensitive critical infrastructure for some future contingency,” he told TechCrunch. “Our concern with recent events is that this might be the contingency we have been waiting for.”
Casey Brooks, a senior adversary hunter at Dragos, which calls the group behind the Triton malware “Xenotime,” told TechCrunch that the indictments are unlikely to deter the hackers.
“These activity groups are well-resourced and can conduct continuous complex operations. While the indictments detail some of these groups’ intrusion activity, their breadth is much greater,” said Brooks. “For example, we know that for Xenotime this is only a fraction of their overall activity. It’s essential to realize that these groups are still active and the indictments will probably do little to deter these adversary groups’ future operations.”
The unsealing of the indictments came three days after President Joe Biden warned of a growing Russian cyber threat against U.S. businesses in response to Western sanctions on Russia for its invasion of Ukraine. It also comes just days after the DOJ indicted six hackers working in the service of Russia’s military intelligence agency, the GRU. The hackers, known as Sandworm, are accused of a five-year spree of attacks, including the destructive NotPetya cyberattack that targeted hundreds of firms and hospitals worldwide in 2017 and a cyberattack that took down the Ukraine power grid.
(文:Carly Page、翻訳:Hiroshi Iwatani)