国家が支援するハッキング攻撃: 高度な持続的脅威とは何か、2022 年に標的となったのは誰か?
2022 年には、政府が支援するサイバー攻撃が著しく増加しました。これらの攻撃の多くは、Advanced Persistent Threat (APT) と呼ばれるものによって実行されました。これらのグループは政府と協力しており、営利目的の違法行為も行う可能性があります。
2022 年には、DDoS 攻撃、スパイ活動、ランサムウェア攻撃、および重要なインフラストラクチャに対する侵害で、外国のエンティティが他の外国のエンティティを攻撃するのが見られました。これらの攻撃は、サプライ チェーンに大規模な混乱をもたらし、数十億ドルの損害をもたらし、スパイ活動の一環として大量の情報を収集しました。
2023 年に世界が直面する可能性があることを見越して、2022 年に発生した 5 つの壊滅的な APT 攻撃を以下に示します。
Table of Contents
中国の APT 41/Double Dragon が COVID 救済基金で 2,000 万ドルを盗む
2022 年、最も衝撃的な APT 攻撃の 1 つが、 APT 41 または Double Dragonとして知られるグループによって実行されました。このグループは、アジアとアフリカの複数の国から約 2,000 万ドル相当の COVID 救援資金を盗むことに成功しました。この攻撃は、パンデミック中に救援金を配布していた銀行、政府機関、およびその他の組織を特に標的にしていました。盗まれたお金は仮想通貨のウォレットを介して洗浄されたため、追跡と回収が困難になったと考えられています。
シークレット サービスの声明によると、APT41 は 10 年以上にわたって活動しており、国家が支援する中国のサイバー脅威グループと見なされており、個人的な利益のためにスパイ活動や金融犯罪を実行することに長けています。サイバー専門家と複数の機関の現職および元職員は、APT41 が中国政府に利益をもたらすサイバースパイ活動の「主力」であると認識しています。 COVID 救済基金が 2020 年に好機の標的として浮上したため、この脅威はこれまで以上に重要になりました。
イランの蔓延する子猫/APT DEV-0270 が米国メリット システム保護委員会を侵害
11 月、米国のサイバーセキュリティおよびインフラストラクチャ セキュリティ エージェンシー (CISA) と連邦捜査局 (FBI) は、イランの高度で持続的な脅威 (APT) に関する共同のサイバーセキュリティ アドバイザリをリリースしました。 Rampant Kittenと呼ばれる攻撃者は、よく知られた Log4Shell の脆弱性を悪用して、2 月に VMware Horizon サーバーに侵入しました。
これにより、米国メリット システム保護委員会に属する連邦ネットワークが侵害されました。これに対応して、CISA は、潜在的な侵害の兆候に対して Log4Shell 修復を適用できなかったすべての組織に警告しました。ワシントン ポストは、影響を受けた機関を米国メリット システム保護委員会と特定しました。この種の攻撃は、重要なインフラストラクチャを保護するために、企業や政府による継続的な警戒と積極的な取り組みの必要性を浮き彫りにしています。
北朝鮮のラザルスグループ/APT38標的の仮想通貨
4 月には、連邦捜査局 (FBI)、サイバーセキュリティおよびインフラストラクチャ セキュリティ庁 (CISA)、および米国財務省 (財務省) によって発行された共同のサイバーセキュリティ アドバイザリー (CSA) が、北朝鮮による暗号通貨の盗難に関連するサイバー脅威について警告しました。 Lazarus Group、APT38、BlueNoroff、Stardust Chollima として知られる、韓国政府が支援する APT (Advanced Persistent Threat) グループ。
少なくとも 2020 年以降、このグループは、仮想通貨取引所、DeFi プロトコル、プレイして稼ぐ仮想通貨ビデオ ゲーム、仮想通貨に投資するベンチャー キャピタル ファンド、または大量のデジタル通貨を保有する個人など、ブロックチェーン技術および仮想通貨業界の組織を標的にしています。または貴重なNFT。
攻撃者は、さまざまな通信プラットフォームを介してソーシャル エンジニアリングを使用して、被害者にトロイの木馬化された暗号通貨アプリケーションをダウンロードするよう説得しています。これにより、攻撃者は被害者のコンピューターにアクセスし、マルウェアを広め、秘密鍵を盗んだり、他のセキュリティ ギャップを悪用して不正なブロックチェーン トランザクションを開始したりできます。
イランのAPT MuddyWater/APT 34がアジア、アフリカ、ヨーロッパ、北米の公共/民間部門を標的に
2022 年 4 月、イランの高度持続型脅威グループMuddyWater/APT 34による政府支援のサイバー攻撃は、イランの情報安全保障省の一部として、アジア、アフリカ、ヨーロッパ、北米の複数のセクターにまたがるさまざまな政府および民間セクターの組織を標的にしました。 (MOIS)。
その後、2020 年 9 月、米国連邦政府はイラン政府がサイバー犯罪活動を支援したとして制裁措置を講じました。イラン政府は、サイバー犯罪活動が複数の持続的標的型攻撃 (APT) グループによって実行されていると主張しています。
具体的には、米国財務省の外国資産管理局 (OFAC) は、少なくとも 2007 年以降、イランの情報安全保障省 (MOIS) を「米国とその同盟国に対するサイバー対応の活動に関与している」と指定しました。
ロシアのAPTアクターが防衛請負業者を標的に
少なくとも 2020 年 1 月から 2022 年 2 月まで、米国連邦捜査局 (FBI)、国家安全保障局 (NSA)、サイバーセキュリティおよびインフラストラクチャ セキュリティ局 (CISA) は、米国に対するサイバー攻撃の定期的なパターンを特定しました。ロシアの国営アクターに由来する防衛請負業者 (CDC) をクリアしました。
これらの攻撃は、スピア フィッシング、クレデンシャル ハーベスティング、ブルート フォース/パスワード スプレー技術、セキュリティが脆弱なアカウントやネットワークの既知の脆弱性を悪用するなど、一般的だが効果的な戦術を採用していました。攻撃者は、Microsoft 365 (M365) 環境も標的とし、正当な資格情報とマルウェアを使用してデータを盗み出し、持続性を維持しました。
上記の攻撃は、世界中で大きな混乱と数十億ドルの損害を引き起こしました。それらは、地政学的な理由と金銭的利益の両方のために実行されました。 APT が今後何年にもわたって脅威であり続けることは明らかであり、公共部門と民間部門の両方の組織がさらなる被害を最小限に抑えることができるように、積極的に対処する必要があります。