アメリカとイギリスが追及するTrickbotグループとは何か?

YouTube動画に映っている白人女性の話ぶりには意思の強さが感じられるが、この女性が悪名高いランサムウェアRyukと深く関わるマルウェアTrickbotの開発に携わっていたとは誰も思わないに違いない。女性の名はアラ・ウィッテ。2021年2月に米フロリダ州マイアミで逮捕され、2023年6月、米連邦地裁から懲役2年8カ月の判決を受けた。

逮捕された2人のマルウェア開発者

2020年8月13日に米裁判所に提出されたTrickbotメンバーの起訴状

ウラジミール・ドゥナエフとアラ・ウィッテ、そして他に5人を被告としている起訴状は2020年8月13日に米オハイオ州の連邦地方裁判所に提出されたものだ。7人のうち1人はウクライナ国籍で、他はロシア国籍とされている。この起訴状にはマルウェアTrickbotに関する詳細な記述がある。ドゥナエフとウィッテはTrickbotの開発者としてコンピューター詐欺など複数の罪に問われ、ウィッテは2021年2月にフロリダ州マイアミで、ドゥナエフは同年9月に韓国・ソウルの空港で逮捕された。2人の逮捕後、アメリカとイギリスは2023年2月と9月に共同でTrickbotグループの計18人に制裁を科すことを発表している。Trickbotとは何か? そしてTrickbotグループとは?

イギリスの国家サイバーセキュリティセンター(NCSC)が「世界中の組織を標的にしているRyukランサムウェア」と題する報告書を発表したのは2019年6月のことだ。Ryukは2018年に登場したランサムウェアで、2019年から2020年にかけてもっとも活発に活動し政府や企業、教育機関、さらに医療分野に対しても攻撃を仕掛けて高額な身代金を要求した。Ryukが違法に取得した収益は1億5000万ドルを超えるとの報道もある。報告書でNCSCはランサムウェアRyukのターゲットとなったネットワークにはEmotetやTrickbotの感染が認められると記し、RyukとEmotet、Trickbotの関係について触れた。システムにRyukが感染する時、Emotetが感染の鎖としてTrickbotを配布していることが観察されるというのだ。Emotetは2014年に最初に検出されたトロイの木馬型マルウェア、Trickbotは2016年後半に初めて検出された。そしてRyukが2018年に登場した。異なるマルウェアが連携してランサムウェア攻撃を導いていることにNCSCは警鐘を鳴らしたのだ。

一方、日本ではEmotetだけが問題になっていた。NCSCの報告書から5カ月後の2019年11月、当時の官房長官、菅義偉が記者会見でEmotetの感染が国内で拡大していることを明らかにした。政府が特定のマルウェアについて国民に注意を呼びかけることはそれまでなく、このニュースは各メディアで一斉に報道された。しかし、リスクの本質、つまりEmotetに感染するとTrickbotの配布につながり、TrickbotによってランサムウェアのRyukの感染に至ることについては政府もメジャーなメディアもほとんど触れることはなかった。しかし、トレンドマイクロの2019年11月の記事「変化を続けるマルウェア『EMOTET』の被害が国内でも拡大」は「国内での検証でも、バンキングトロジャン/バックドアとして知られる『TRICKBOT』、ランサムウェアの『RYUK』、国内ネットバンキングを狙うバンキングトロジャンの『URSNIF』などに連鎖して感染する事例を確認しており」と記している。日本国内でも当時すでにEmotetからTrickbot、そしてRyukという感染の連鎖は確認されていた。

ロイターが報じた25 Floorへの強制捜査

ロシア当局の強制捜査を報じたロイター通信のウェブニュース=https://jp.reuters.com/article/us-cybercrime-russia-dyre-exclusive/exclusive-top-cybercrime-ring-disrupted-as-authorities-raid-moscow-offices-sources-idUSKCN0VE2QS

イギリスのNCSCがEmotetとTrickbot、Ryukランサムウェアの関係を指摘するレポートを発表する5年ほど前からアメリカやヨーロッパではネットバンクのユーザーを狙ったマルウェアが猛威をふるっていた。このマルウェアはDyreと呼ばれた。感染するとオンラインバンクの認証情報などが窃取された。Dyreは2015年初頭にもっとも活発だったが、Dyreを配布するスパムキャンペーンが2015年11月18日に忽然と消滅しDyreの活動も停止した。Dyreをめぐる突然の変化はサイバーセキュリティの世界で様々な憶測を呼んだが、翌2016年2月にイギリスの通信社、ロイターが報じたニュースはさらに驚きをもって受け止められた。

ロイターが報じた記事は、ロシア当局が金融ハッキングに対する取り締まりとしてモスクワの映画配給・制作会社の関連会社を2015年11月に強制捜査したというものだった。ロイターの記事を引用しよう。

事情に詳しい関係筋3人によると、ロシア当局は11月、世界で最も悪名高い金融ハッキング活動の一つに対する取り締まりの一環として、モスクワの映画配給・制作会社の関連事務所を強制捜査した。サイバーセキュリティの専門家らは、バンク・オブ・アメリカやJPモルガン・チェースなどの金融機関で少なくとも数千万ドルの損失をもたらしたとされる『Dyre』として知られるパスワード窃取ソフトウェア・プログラムは活動していないと述べた。専門家らは、今回の事件はロシアによるサイバー犯罪取り締まりのこれまでで最大の取り組みを示すものだと述べた

ロイターがロシア当局による強制捜査を報じたのは25 Floor Film Companyという会社のモスクワシティの超高層ビルに入っていた事務所で、記事によると同社はロシアや近隣諸国で映画やテレビ番組を配給していたほか、独自に映画やテレビ番組の制作も行っていた。当時の配信予定にはニコラス・ケイジ主演の『ザ・ランナー』やキアヌ・リーヴス主演の『エクスポーズ』も含まれていたという。つまりモスクワにある映画やテレビ番組の制作・配給会社の事務所にロシア当局が金融ハッキングの取り締まりとして踏み込み、その時期と符合して金融マルウェア「Dyre」の活動が停止したというのだ。Dyreによる被害の多くは欧米で、2015年に入ってからはアジアでも被害が増えていた。

金融マルウェアDyreのコードを利用か

ロイターの記事はロシア当局による強制捜査とマルウェアDyreの活動停止を強く関連づけたものではあったが、「プログラムの停止と強制捜査との直接的な関連性を特定できなかった」とも記して強制捜査によってDyreが停止したとは断定していない。ロシア当局はロシア国外をターゲットにするハッカーグループを取り締まることをしてこなかったことから、Dyreをめぐる強制捜査には懐疑的な見方をするサイバーセキュリティの専門家も少なくなかった。ロイターの記事によれば、この強制捜査はロシアの代表的なサイバーセキュリティ企業、カスペルスキーが支援して行われたという。一方、強制捜査を受けた25 Floor Film Companyは当時、「ボットネット」という映画を制作していた。ボットネットとはマルウェアに感染することで構築される犯罪インフラで、ボットネットをタイトルにつけた映画の制作をイリヤ・サチコフ氏がサポートしていたという。

イリヤ・サチコフ氏といえばサイバーセキュリティ企業、Group-IBの創設者で2010年にロシア人として初めてデジタル犯罪コンソーシアム賞を受賞するなど輝かしい経歴を有しプーチン大統領とも面識がある人物だ。しかし、2021年9月に国家反逆罪に問われてモスクワで逮捕され、2023年に懲役14年の判決を受けたと伝えられている。サチコフ氏を逮捕した理由についてロシア当局は明らかにしていないが、米メディアはロシアのサイバー工作に関しサチコフ氏が情報を西側に提供した嫌疑がかけられていると指摘している。アメリカやヨーロッパをターゲットとするハッカーの取り締まりに無関心だったロシア当局が猛威を奮っていた金融犯罪マルウェアの摘発に動いたにとどまらず、強制捜査をめぐりロシアを代表するサイバーセキュリティ企業と世界的なサイバーセキュリティ企業を創設したロシア人が捜査をする側とされる側にそれぞれ関与していたのは偶然の出来事なのだろうか。そして後にサチコフ氏が国家反逆罪に問われることになったことと25 Floor Film Companyへの強制捜査とは関係があるのだろうか?強制捜査の結果についてロイターは「関係筋によると、多くの人が当局から取り調べを受けたが、逮捕や刑事告発の有無などの詳細については確認できなかった」と伝えるにとどまっている。

2020年8月13日に米オハイオ州の連邦地方裁判所に提出された起訴状は「Trickbot詐欺計画」という項目を立てて最初に以下のように記している。

Dyreは、モスクワを拠点とする未知の個人によって運営されていたオンライン・バンキング型トロイの木馬で、2014年半ばにロシア国外の企業や団体を標的にし始めた。2015年11月頃、ロシア当局は、Dyreに関連するモスクワの会社25th Floorの多数の個人を逮捕したとされている。このロシア当局の措置の後、Dyreの活動は大幅に減速したが、Dyreネットワークや25th Floorのメンバーに対する罪状は公表されなかった。ロシア当局の行動の後、数ヶ月から数年の間に、Dyreの活動家は再編成され、Trickbotとして知られる新しいマルウェアツール群を作成した

米連邦地裁が懲役5年4か月の判決

起訴状によると、Trickbotはモジュール式の多機能マルウェアツール群で、初期のTrickbotはウェブインジェクションやキーロギングによりコンピューターから個人情報や金融情報を自動的に盗み出すために設計されていたが、後のバージョンではモジュール化され、ランサムウェアのインストールと使用を容易にする機能などが追加された。2015年11月11日頃、Dyreマルウェアのサーバーの認証情報をTrickbotグループが取得し、その約1週間後にDyreマルウェアキャンペーンのメンバーはロシア当局に逮捕されたとされる。そしてDyreのフレームワークとコードを利用して新しいマルウェアTrickbotの作成が開始された。遅くとも2015年11月頃から、Trickbotグループは、Dyreのインフラを再構築するために新しいプログラマーの採用も始めたという。

ウィッテはマルウェア開発者で、Trickbotの監視と追跡に関するコード、ランサムウェアの制御と配備、ランサムウェアの被害者から身代金の支払いを受ける際のコードの作成、窃取した認証情報を管理するツールやプロトコルの開発を行っていたという。2021年6月に米司法省が発表したリリースによるとウィッテはラトビア国籍で、逮捕される前はスリナムの首都、パラマリボに居住していた。

Trickbotメンバーには米英が制裁を科している=
https://www.nationalcrimeagency.gov.uk/news/russian-ransomware-group-hit-with-new-sanctionsより

ドゥナエフはTrickbotで使用するインターネット・ブラウザ・インジェクションやマシンの識別、データ採取コードの作成を担っていた。2016年5月ころにリクルートされてTrickbotの開発に携わるようになったようだ。ロシアのヤクーツク地方と東南アジアに居住していたが、2020年2月に韓国に入国した後、新型コロナウィルス感染症の影響により出国できなくなり韓国に滞在していた。2021年9月に出国しようとしたところを空港で逮捕された。

2024年1月25日、米司法省はリリースを発表し米連邦地裁がドゥナエフに対して懲役5年4か月の判決を言い渡したことを明らかにした。ドゥナエフはロシア・アムール州在住で、Trickbot計画を推進するために専門的なサービスと技術的能力を提供したとしている。米英当局は2023年2月に7人、同9月に11人、計18人についてTrickbotグループのメンバーとして制裁を科している。

■出典

https://www.justice.gov/opa/pr/latvian-national-charged-alleged-role-transnational-cybercrime-organization

イギリスのNCSCがRyukランサムウェアの調査報告書を公表

日本でEmotetの感染拡大 死神?Ryukランサムウェアとの関連は

https://www.trendmicro.com/ja_jp/research/19/k/damage-spreads-in-Japan-from-the-ever-changing-malware-EMOTET.html

https://jp.reuters.com/article/us-cybercrime-russia-dyre-exclusive/exclusive-top-cybercrime-ring-disrupted-as-authorities-raid-moscow-offices-sources-idUSKCN0VE2QS

https://www.justice.gov/opa/pr/russian-national-sentenced-involvement-development-and-deployment-trickbot-malware

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください