Photo by blurrystock on Unsplash
Belarus-linked cyber attacks aim to disrupt Ukraine refugee operations
2022/3/2 computing
ハッカーは、地域の難民の動きに関する情報を得るために、SunSeedマルウェアを展開しようとしています。
企業向けセキュリティ企業であるProofpointの研究者は、ベラルーシ政府と関連があるとされる新たなフィッシングキャンペーンを確認しました。
このキャンペーンは、欧州の政府関係者をターゲットにして、この地域の難民や物資の移動に関する情報を収集しようとするものです。
研究者は2月24日にこのフィッシングメールを初めて目にし、この攻撃を「Asylum Ambuscade」と名付けました。
このキャンペーンは、ウクライナの武装サービス要員のものと思われる危険なメールアカウントから発信されたようです。
このアカウントから送信されたフィッシングメールには、2月23日に開催されたNATO安全保障理事会の緊急会合に関連するソーシャルエンジニアリングをテーマにした悪意のあるマクロの添付ファイルが含まれていました。
また、危険なLuaウイルスであるSunSeedをダウンロードしようとする添付ファイルも含まれていました。
このメールは、様々な役割の個人をターゲットにしていますが、輸送、管理、資金配分、難民の移動に関わる人々を好んでいるように見えます。
研究者は、Asylum Ambuscadeの目的は、ウクライナからハンガリー、ポーランド、スロバキアなどの近隣諸国への難民の移動に関わる物流を混乱させることであると考えています。
「このキャンペーンは、ロシアとその代理人、ウクライナ間の武力紛争の活発な時期に、侵害されたウクライナ軍のアカウントでNATOのエンティティをターゲットにする取り組みを表しています」と彼らは述べています。
研究者は、このキャンペーンを、情報戦と標的型ハッキングのハイブリッドアプローチによる「紛争による移民・難民の武器化」と呼んでいます。
今回の攻撃で用いられた戦略は目新しいものではありませんが、集団で、かつハイテンポな戦いの中で用いられた場合、極めて強力なものになる可能性を秘めています。
危機が進行するにつれ、NATO参加国の政府機関に対する同様の攻撃が発生する可能性があるとProofpointの研究者は考えています。
さらに、ロシアやベラルーシの支援を受けた脅威グループが、欧州の難民の動きに関する情報を偽情報の目的で利用することも予想されます。
Proofpointは、SunSeedマルウェアを使ったフィッシングの取り組みと、ベラルーシに拠点を置き、同国政府とつながりがあるとされるGhostwriter(ProofpointはこのグループをTA445の一部、UNC1151として追跡しています)を仮に関連付けました。
このグループは以前、ウクライナのコンピュータ緊急対応チーム(CERT-UA)による警告の対象になっていました。
関連性が完全に証明されたわけではありませんが、Proofpoint社は、漏洩した電子メールアドレスの使用、時間枠、被害者像のすべてがGhostwriterの手口と一致していると述べています。
先週のロシア侵攻の直前から、ここ数日、ウクライナを標的とした一連のサイバー攻撃が発生しています。
ウクライナの国会、政府、外務省の公式ウェブサイトは、木曜日にロシアが侵攻する数時間前にオフラインになった。
サイバーセキュリティ企業のESETは先週木曜日、「HermeticWiper」と名付けられたデータ消去用のマルウェアが、同国内の数百台のコンピュータで出回っていることを発見したと発表しました。最初の調査では、この攻撃は過去2、3カ月前から行われていたことが示唆された。
米国と英国のサイバーセキュリティ機関は2日、ロシアに支援されたハッキンググループが家庭やオフィスのネットワーク機器を標的に使用しているとされる「Cyclops Blink」という新種のマルウェアについて詳述した共同のサイバーセキュリティ勧告(CSA)を発表しました。
Computingは次のように述べています
ロシアに完全に従属する国家であるベラルーシは、難民や移民を兵器化した歴史があります。2021年、ベラルーシの指導者アレクサンドル・ルカシェンコは、中東から何千人もの移民を空輸し、凍えるような状況のポーランド国境に彼らを置き去りにしました。
現在、欧州全域で繰り広げられているサイバー戦争で、同国が同様の戦術を採っていることは不思議ではありません。
原文は以下(英文)