ウクライナ戦争に見るワイパー攻撃の実態とデジタル情報操作

ロシアによるウクライナに対する戦争は「ハイブリッド戦争」と呼ばれ、軍事侵攻とサイバー攻撃が一体となった最初の戦争となった。マイクロソフトがこのほど発表したスペシャルレポートは、ロシアのウクライナへのリアルな軍事進攻とサイバー空間での攻撃の関係について報告、またマンディアントは破壊的なサイバー攻撃に加えてソーシャルメディアなどによって展開されている情報操作の実態について報告している。

WhisperGate、HermeticWiper、IsaacWiper、CaddyWiper

米国土安全保障省のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)と米連邦捜査局(FBI)の共同サイバーセキュリティアドバイザリAA22-057Aは、ウクライナを攻撃している破壊的マルウェアに関する情報を公表している。2月26日に最初のアドバイザリが発行され、4月28日にアップデートされた。

A22-057Aによると、ロシアがサイバー攻撃で使用しているマルウェアは以下の通り。

  • WhisperGate
  • HermeticWiper
  • IsaacWiper
  • HermeticWizard
  • CaddyWiper

これまでの経緯としては、2022年1月15日にマイクロソフトの脅威分析部門であるMicrosoft Threat Intelligence Center(MSTIC)がWhisperGateと呼ばれるマルウェアがウクライナを標的にしていることを明らかにし、さらに2月23日にHermeticWiperと呼ばれるマルウェアがウクライナに対して使用されていることが明らかになり、その後、IsaacWiperやCaddyWiperが明らかになった。WhisperGate、HermeticWiper、IsaacWiper、CaddyWiperはいずれもコンピューターのデータを破壊するワイパーマルウェアだ。また、HermeticWizardはローカルネットワークにHermeticWiperを拡散させるワームだという。スロバキアのサイバーセキュリティ企業、ESETによると、HermeticWiperはウクライナの少なくとも5つの組織の数百台のシステムから検出され、IsaacWiperはHermeticWiperが検出されていない組織から検出されているという。

CaddyWiperのコード=https://twitter.com/ESETresearchより

またCaddyWiperは接続されたドライブからユーザーデータやパーティション情報を破壊するもので、限られた組織の数十台のシステムで発見されたという。CaddyWiperのコードとHermeticWiper、IsaacWiperのコードに類似性は見られていない。ESETによるとHermeticWiperの攻撃ではHermeticWizardのほかにHermeticRansomというGo言語で記述されたランサムウェアが見つかっているという。サイバーセキュリティアドバイザリAA22-057Aによると、WhisperGateにもランサムウェアを偽装した機能があり、ランサムウェアのメッセージが表示されるがデータは破壊され復元する機能は有していないことから、WhisperGate、HermeticWiperともにランサムウェアに偽装したワイパーマルウェアだと考えられている。

ワイパーマルウェアは時限爆弾式に日時を設定して動作させたり、スリープさせることが可能なことからかなり以前にコンピューターに埋め込まれていたと考えられ、ESETによるとHermeticWiper PEがコンパイルされた最も古いタイムスタンプは2021年12月28日、コード署名証明書の発行日は2021年4月13日だったということで、ESETは「攻撃者は被害者のActive Directoryサーバーの1つに事前にアクセスしていた」としている。ランサムウェアへの偽装は攻撃が金銭目的であるかのように被害者に誤認させることが目的と考えられ、実際、2017年6月にヨーロッパを中心に被害が出たNotPetyaによる攻撃も当初はランサムウェア攻撃だと考えられていたが、その後の分析でワイパーマルウェアだと判明している。

マイクロソフト「サイバー脅威グループは軍事イベントとほぼ同じ時期に同じセクターを標的にした」

WhisperGateを明らかにしたマイクロソフトは最近「SPECIAL REPORT : Ukraine」と題したレポートを発表、ウクライナへのサイバー攻撃とロシア軍によるウクライナへの軍事侵攻の関係を論じている。レポートによると、ウクライナへの破壊的なサイバー攻撃の40%以上は政府、軍隊、経済、重要インフラの組織を狙ったもので、32%は国、地方、都市レベルでウクライナの政府組織に影響を及ぼした。そして、少なくとも8つの破壊的なマルウェアファミリーがウクライナに配備されていると推定している。

マイクロソフトは2021年3月には、ロシアと連携した脅威グループが紛争の事前準備をしていたと評価しており、例えば8月にはACTINIUMがウクライナを拠点とする外国の軍事顧問と人道主義者のアカウントにアクセスするためのスピアフィッシングキャンペーンを展開、2021年後半にはロシアのサイバー攻撃者がITサービスプロバイダーのKitsoftを含むウクライナのエネルギーやITプロバイダーに侵入するなどの取り組みが行われていたという。ウクライナでは2022年1月に主に政府のウェブサイトが改ざんされるサイバー攻撃が発生、これらサイトの多くはKitsoftによって運営されていた。

マイクロソフトのレポートは、サイバーオペレーションは軍事の動的アクションを補完しているとし、「サイバー脅威グループは、多くの場合、動的な軍事イベントとほぼ同じ時期に同じセクターまたは地理的な場所を標的にした」と分析している。

マンディアント「サイバー攻撃活動と同時にロシアの政治的利益に沿った情報操作活動」

また、マンディアントは「ランサムウェアに偽装されたワイパー型マルウェアの配備を含む、ロシアがスポンサーであると思われる破壊的なサイバー攻撃活動と同時に発生した、ロシアの政治的利益に沿った情報操作活動を確認した」として、ワイパーマルウェアによる攻撃とともに発生した情報操作活動の実態を報告している。以下はウクライナへのサイバー攻撃とそれに伴う情報操作について示している。

日付 情報操作 サイバー攻撃
2022年1月14日 外務省を含む複数のウクライナ政府のWebサイト改ざん。政府サーバーからデータが削除されたのでそれを公開するというメッセージがロシア語、ウクライナ語、ポーランド語で表示された。 この改ざんは、ランサムウェアに見せかけたMBRワイパー「PAYWIPE」やファイル破壊ツール「SHADYLOOK」がウクライナ政府やその他のターゲットに対して1月に展開されたのと同時期であったと考えられる。
2022年2月23日 数十のウクライナ政府のWebサイト改ざん。1月14日の件と同じ画像が表示された。 ランサムウェアに偽装したNEARMISSマスターブートレコード(MBR)ワイパーとPARTYTICKETワイパーを使ったウクライナ政府のターゲットに対する破壊的な攻撃と同時期に発生した。
2022年3月16日 ウクライナを標的とした情報操作により、ウクライナ24のWebサイトの侵害・改ざんの疑いや、ウクライナ24のテレビ放送のニューステロップに書かれた文章、さらに人工知能(AI)が生成したゼレンスキー大統領になりすました「ディープフェイク」動画を通じて、ウクライナのロシア降伏を主張するねつ造メッセージが流布された。 同日、Mandiantは、ウクライナの組織を標的としたJUNKMAILワイパーを特定。このマルウェアは、ゼレンスキー大統領が米国議会で演説を行う予定の約3時間前に実行されるよう、スケジュールされたタスクによって設定されていた。

マンディアントはウクライナ侵攻に関連する情報操作に関与しているとみられる組織について明らかにしており、詳細は以下の通り。

■APT28:ロシア参謀本部主席情報局(GRU)第85特殊作戦センターの情報作戦資産であると推定されるテレグラムチャンネルが、現在の紛争に関するコンテンツを投稿し続けている。これらのチャンネルは侵攻前から活動しており、このチャンネルの活動には、侵攻への対応についてウクライナ人が政府への信頼を失うことを意図していると思われるコンテンツの宣伝が含まれており、また、欧米のパートナーからのウクライナへの支援を弱めることも意図している。一方で、非政治的なコンテンツやニュース報道を伝える一見穏健な投稿も散見される。

APT28は、ハッキングやリーク作戦から破壊活動に至るまで、情報操作に関与してきた幅広い歴史を有している。APT28が関与する著名な作戦としては、2016年に米国民主党全国委員会(DNC)および米国民主党議会選挙委員会(DCCC)が侵害され、その後、偽ハクティビストのペルソナGuccifer 2.0によってその文書が流出したことや、2014年にウクライナ中央選挙委員会のネットワークおよびWebサイトの侵害、改ざん、データ漏洩、データ破壊がある。

■Ghostwriter:不正アクセスした疑いのあるWebサイトや、不正アクセスした疑いのある複数のソーシャルメディアアカウント、あるいはその他の攻撃者にコントロールされたアカウントを利用して、ウクライナ人とポーランド政府との間の不信感を煽るようなシナリオを宣伝するために、捏造したコンテンツを公開した。また、「Ghostwriter」活動に関与したと思われる不審な人物も、NATOとバルト三国の駐留を批判し、ウクライナへの言及を増やした意見記事を発表・宣伝している。ベラルーシが少なくとも部分的にGhostwriter活動に関与していると、中程度の確信を持って判断している。

侵攻までの数週間とその後の数週間、ベラルーシのスパイ組織「UNC1151」は、リトアニアを標的としたスピアフィッシングなど、ヨーロッパ諸国を標的とした複数のキャンペーンを実施している。UNC1151は、Ghostwriterの情報操作活動を技術的に支援していることから、UNC1151の脅威活動に関連するターゲットが観測されたことは特筆すべき。

■Niezależny Dziennik Polityczny (NDP):ロシアのウクライナ侵攻直後から、同名のオンラインジャーナルを中心とした情報作戦活動を展開するNDPに関連する資産が、ロシアの戦略的利益を積極的に擁護する方向に変化していることが確認された。この間、ロシアのプロパガンダと偽情報のエコシステムの中で、公然の情報源と隠された情報源の両方によって作られたシナリオを強調して推進する活動の様子が観察された。NDPの活動を特定の攻撃者にアトリビューションすることはできないが、NDPとGhostwriterの活動には重複が見られ、この2つの間にある程度の連携や作戦計画に関する高度な知識の共有がある可能性がある。

■Secondary Infektion:侵攻前も侵攻中も、「Secondary Infektion」と呼ばれるロシアの影響を受けていると思われる活動が継続している。偽造文書、通信文、パンフレット、スクリーンショット、偽造請願書やインタビューなど、しばしば改ざんした資料によって根拠のあるシナリオを作り、聴衆をターゲットにしている。

■Internet Research Agency(IRA):ロシアの新聞「Fontanka.ru」の報道によると、テレグラムチャンネル「Cyber Front Z」に関連する極秘の情報操作活動の存在が示唆されている。このチャンネルは、ロシア、ウクライナ、西側諸国の視聴者に対し、侵略に関する親ロシア的なコンテンツをソーシャルメディア上で協調的に宣伝することをあからさまに目的としている。Fontanka.ruのレポートによると、Cyber Front Zは、IRAに関連して米国から制裁を受けた組織につながる個人が運営している可能性があり、このテレグラムチャンネルで宣伝されている仕事は、複数のプラットフォームで親ロシアコンテンツを宣伝するために非正規のペルソナを使っている「トロール工場」の一部であると主張されている。これらの主張を独自に確認することはできないが、このような活動は、既知のIRA資産からこれまでに観察されたものと一致している。

Cyber Front Zのテレグラムチャンネルに投稿された拡散を目的とした画像。マリウポルの製鉄所に閉じ込められたウクライナ軍に漫画のロシア兵が空爆を呼びかけている(https://www.mandiant.com/resources/information-operations-surrounding-ukraineより転載)

■ロシア情報機関とつながりのある偽装メディア:独立団体を自称しながらも、ロシア情報機関とつながりがあると公になっているメディアが、侵略に関連する親ロシア的なシナリオの出版や増幅に関与している。これにはロシア連邦対外情報庁(SVR)、ロシア連邦保安庁(FSB)、ロシア連邦軍参謀本部(GRU)とのつながりが報告されている出版社が含まれる。

■ロシアと連携する「ハクティビスト」グループ:ハクティビストのペルソナであるJokerDNRとBereginiは、ウクライナ軍メンバーの個人情報(PII)を含むとされるリーク文書の公開などを通じて、ロシアの侵攻に至るまで、そしてそれ以降もウクライナをターゲットに積極的に活動している。さらに、Killnet、Xaknet、RahDitといったロシア国家との関係は不明なハクティビストグループが新たに設立され、分散型サービス妨害(DDoS)攻撃、ハッキング&リーク作戦、改ざんなど、ロシア支援のためのハクティビスト型脅威活動に従事している。

■出典

https://www.cisa.gov/uscert/ncas/alerts/aa22-057a

https://www.eset.com/jp/blog/welivesecurity/isaacwiper-hermeticwizard-wiper-worm-targeting-ukraine/

https://blogs.blackberry.com/ja/jp/2022/03/threat-thursday-whispergate-wiper

https://www.eset.com/jp/blog/welivesecurity/caddywiper-new-wiper-malware-discovered-ukraine/?utm_source=malware_info&utm_medium=refferal&utm_campaign=caddywiper

https://www.cadosecurity.com/technical-indicators-of-ukrainian-website-defacements/

https://www.mandiant.com/resources/information-operations-surrounding-ukraine

 

 

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください