国家が、敵対的なハッキング攻撃でコンピューターのデータを消去するために使用できるマルウェアをロシアのサイバー犯罪フォーラムで購入していることが確認されています。
Exploit や XSS などのロシア語を話すハッキング フォーラムは、コンピューター システムをハッキングしてデータを盗んで金儲けを目的とするサイバー犯罪者が使用するツールやサービスのブラック マーケットを運営しています。
サイバーセキュリティ会社チェック・ポイント・ソフトウェアの脅威インテリジェンス専門家、セルゲイ・シケビッチ氏によると、各国はサイバー犯罪者やハッカーを装うために地下サイバー犯罪フォーラムを利用するケースが増えているという。
「国家は、ハクティビズムに関与しているふりをすることで否認が可能になることを理解している」と同氏はComputer Weeklyに語った。 「たとえそれがロシアやイランだと誰もが知っていたとしても、彼らは非難されたくないのです。」
ロシアのフォーラム
ロシアのサイバー犯罪フォーラムの中には、20 年以上運営されているものもあります。 シケビッチ氏によると、最も古いロシア語圏フォーラムの 1 つは Exploit で、2000 年に設立され、20 万以上のトピックに関する 100 万件のメッセージが含まれています。
「彼らはあなたが想像できるすべてを提供します」と彼は Computer Weekly に語った。 「それはソフトウェアの脆弱性から始まります。 マルウェア、ランサムウェアをサービスとして、スパムをサービスとしてレンタルして、偽のフィッシングメールを配布したり、現在では AI (人工知能) 関連のサービスやディープ フェイク プラットフォームまでレンタルできます。」
通常、フォーラムはディープ Web 上に存在し、アクセスするために専門の Tor ブラウザは必要ありません。 しかし、彼らは厳密には会員のみです。
イラン、ワイパーソフトウェア購入の疑い
チェック・ポイントは昨年、ロシアの地下フォーラムがコンピューターのデータを不可逆的に破壊するように設計されたワイパー・ソフトウェアを提供していることを発見した。
普段ロシアのハッキングフォーラムに生息しているサイバー犯罪者にとって、ワイパーソフトウェアは無関心であり、国家の関与を強く示唆している。
「おそらくイラン政府だろう誰かがワイパーソフトウェアを探しているのを目撃した」とシケビッチ氏は語った。
シケビッチ氏によると、国家支援のハッカー集団は典型的なサイバー犯罪集団よりも資金が豊富で、その購買力を宣伝することに躊躇しないという。
彼らは通常、ハッキング コミュニティの他のメンバーよりも高額の保証金をサイバー犯罪フォーラムの管理者に支払います。
「これらすべてから、我々は比較的高い自信を持って、彼らは通常のサイバー犯罪者ではないと判断できます」とシケビッチ氏は述べた。
彼らは、標的のコンピュータ システムへの侵入に使用できる貴重なゼロデイ エクスプロイトの在庫を構築 (銀行) することに資金を費やしています。
「銀行を悪用していると主張する攻撃者がいます。 彼らの予算は無制限だ」とシケビッチ氏は語った。
国家ハッカーは、脆弱なコンピュータ システムのネットワークを調査するために、ロシアのサイバー犯罪フォーラムで簡単に入手できる正規のサイバー セキュリティ テスト ツールを使用して、別の防御層を頻繁に追加しています。
カスタムメイドのハッキング ツールよりも疑惑を引き起こす可能性が低くなります。
Shykevich 氏は、ペネトレーション テスト ツールを使用している人のうち、本物のセキュリティ専門家は 10 人に 1 人だけであると推定しています。 「テストのほとんどは悪者によるものだ」と彼は言う。
フォーラムはビジネスのように運営されます
ロシアの地下フォーラムのメンバーは通常のビジネスと同様に活動しており、エクスプロイトやハッキング サービスの販売による利益と毎月の収入に関心を持っています。
ロシアでは、彼らは自分の富を公然と誇示します。 例えば、ロシアで最も有名なサイバー犯罪者の一人は、モスクワでの派手な結婚式に50万ドル以上を費やしたと言われている。
フォーラムへの参加を申請する人は誰でも、法執行機関やセキュリティ研究者ではなく、本物のサイバー犯罪者であることを確認するための審査を受けることが期待できます。 会費は50ポンドから数千ポンドの範囲です。
フォーラムには、当事者間で支払いをめぐって紛争が生じた場合に評決を下すことができる規則と仲裁人のシステムがあります。
訪問者は、ハッキング サービスの完全な「キル チェーン」を見つけることが期待できます。
初期アクセスブローカー
チェーンは初期アクセス ブローカーから始まります。 彼らは、VPN や AnyDesk などの商用リモート アクセス ツールを通じて、企業の IT システムにアクセスするための資格情報を比較的少額で販売しています。
たとえば、Check Point は、AnyDesk リモート アクセス ツールを使用する匿名の日本企業のアクセス資格情報を 3,000 ドルで販売しているブローカーを特定しました。
このような広告では、セキュリティ研究者や潜入警察から企業の身元を保護するために、対象企業の名前は公表されていません。 しかし、これらはターゲットの収益を示しており、裕福な企業からより高額の身代金を確保できることを知っているランサムウェア攻撃者にとって重要な指標となります。
「彼らは、会社の収益と会社からどれだけ搾取できるかに基づいて、特定のアクセスの価値を評価します。 企業が大きければ大きいほど、あるいは業界が裕福であればあるほど、より多くの恐喝が可能になる」とシケビッチ氏は語った。
スパムとゼロデイ
提供されるサービスには、スパムメールを有料で配信するスパムサーバーなどがあります。 スパム フィルターで検出されない電子メールを作成するために、多くの企業が AI に注目しており、その成功率は 70% に達しています。
一部の犯罪者は、新たに発見されたゼロデイ脆弱性を、公開から数日以内にエクスプロイト開発することを専門としています。これは、企業がパッチを適用するよりもはるかに迅速です。
他のサービスでは、既存のマルウェアを入手してコードを変更することで、ウイルス対策ソフトウェアによる検出を回避できます。
「サイバー犯罪者にとって重要なことの 1 つは、マルウェアが検出されないことです」とシケビッチ氏は述べています。 改変されたマルウェアは何年も検出されずに存続することができます。
ランサムウェア
シケビッチ氏の調査によると、ロシアの地下フォーラムのほとんどではランサムウェアは禁止されているが、ロシアのフォーラムの少なくとも 1 つはサービスとしてランサムウェアを提供している。
サービスは、ランサムウェア コードを開発するグループと、企業ネットワークにアクセスするという重労働を行う犯罪侵入テスターによって提供されます。
ランサムウェア開発者は通常、ランサムウェア攻撃が成功した場合の収益の 20% ~ 30% を受け取ります。 身代金の支払い額は数千万ドルに達する場合もあり、その料金は多額になります。
ロシアの地下マーケットプレイスには、ユーザーが他のロシア語圏の国を攻撃してはいけないというルールがある。 そうすれば逮捕または投獄される可能性が高いとシケビッチ氏は述べた。
「それらの国を標的にしない限り、彼らはやりたいことを何でもできる」と彼は言った。 「二連勝ですよ。 彼らはロシアのために金を稼ぎ、西側諸国がサイバー攻撃に対して脆弱であることを示している。」