ウクライナの危機がエスカレートする中で予測されるサイバー脅威

ウクライナの危機は、状況が悪化するにつれて増加する可能性が高い攻撃的なサイバー活動の追加の触媒であることがすでに証明されています. Mandiant では、この活動を予測しており、最近の改ざんや破壊的な攻撃とは異なり、将来の活動はウクライナの標的や公共部門に限定されないことを懸念しています。

活動範囲

ロシアとその同盟国は、この危機の間、サイバースパイ活動、情報操作、および破壊的なサイバー攻撃を実施します。サイバースパイ活動はすでに世界的な活動の定期的な側面になっていますが、状況が悪化するにつれて、ウクライナ内外でより積極的な情報操作と破壊的なサイバー攻撃が見られる可能性があります。

• UNC2452、Turla、APT28 などのロシアのサイバー スパイ アクターは、ロシアの諜報機関と関係があり、ほぼ間違いなく、危機に関する情報を提供する任務をすでに受けています。これらのアクターは、ロシアの外交政策の意思決定に役立つ情報を得るために、世界中の政府、軍、外交、および関連する標的をすでに頻繁に標的にしています。
• ロシアは、TEMP.Armageddon (UNC530) など、占領下のクリミアとウクライナ東部で活動する攻撃者など、地域内の多数の追加のサイバー スパイ オペレーターを活用しています。
• 捏造されたコンテンツの作成と流布、望ましい物語を促進するためのソーシャル メディアの操作などの情報操作は、危機の文脈の中ですでに行われています。私たちは、親ロシアのアクターや、ロシアの利益に沿った物語を推進する者たちが、東ヨーロッパ内のNATO同盟国やパートナーに対して定期的に情報作戦を行っているのを目にしています。
• 特に、ウクライナの当局者は、最近のウクライナ政府の Web サイトの改ざんはUNC1151 (私たちがベラルーシに関連付けた攻撃者) によるものであるとしていますが、この帰属を確認することはできません。以前、GRU 関連のアクターである Sandworm Team と APT28 による同様の活動が確認されています。
• 破壊的および破壊的なサイバー攻撃は、サイバースパイ活動やその他の形式の情報操作と比較すると、比較的まれです。サンドワーム チームはロシアの卓越したサイバー攻撃能力であり、ウクライナで停電を引き起こした複雑な攻撃や、歴史上最も高価な破壊的攻撃である NotPetya を実行しました。 Mandiant が TEMP.Isotope (UNC806/UNC2486 別名 Berserk Bear、Dragonfly) と呼んでいる別の攻撃者は、米国とヨーロッパの重要なインフラストラクチャを侵害してきた長い歴史があります。この攻撃者がそのインフラストラクチャを混乱させようとする試みは見たことがありませんが、これらの違反は、ロシアが深刻な混乱を引き起こす準備ができている場合の不測の事態への準備であると考えています.

情報操作

情報操作は、ロシアとベラルーシのサイバー活動の通常の特徴です。このような攻撃者は、目的を達成するためにさまざまな戦術を活用します。これには、組織的で真正でない活動を含むソーシャル メディア キャンペーンの使用、ハッキング アンド リーク操作におけるエンティティの侵害、または捏造されたコンテンツの拡散に使用するための使用が含まれますが、これらに限定されません。望ましい物語を促進するため。

• 大まかに言えば、情報操作アクターは、敵国内および敵国間の既存の分断を利用して、民主主義機関への信頼を損ない、NATO 同盟、欧州連合、および西側諸国内に不信感を生み出すことによって、ロシアの利益を増進しようとしてきました。
• 偽造された文書、改ざんされた写真、偽の嘆願書などの捏造されたコンテンツは、ゴーストライターや二次感染など、影響力のあるキャンペーンに関与していると見なされている作戦で定期的に使用されています。
• 侵入活動により得られたデータが流出し、スキャンダルが発生し、後遺症が残る。親ロシア派の攻撃者が盗んだデータを漏えいする前に改ざんまたは改ざんし、場合によっては改ざんされていないデータとともに、特定の作戦の意図された物語を裏付けているのを観察しました。
• 情報操作の攻撃者は、ジャーナリストや「ハクティビスト」などの第三者を利用して、情報や物語を正当化し、そのコンテンツを洗浄しています。そのような多くの当事者が、故意または無意識にこれらの攻撃者と協力していましたが、Ghostwriter、サイバー スパイ アクター UNC1151 によってサポートされており、正当な情報ソースを侵害して悪用します.これには、ニュースや地方自治体のサイト、またはソーシャル メディア アカウントを含む、資料を広める.
• Internet Research Agency によって実施されたものなどのロシアの情報操作キャンペーンは、目的を達成するのに役立つ虚偽の物語を広めるコンテンツを公開および宣伝するために、本物ではないペルソナやメディア アウトレットを作成および活用しています。

サイバー攻撃

破壊的および破壊的なサイバー攻撃は、分散型サービス拒否攻撃から重要なインフラストラクチャに対する複雑な攻撃まで、さまざまな形態をとります。他の国々と同様に、ロシアは危機の際にこの能力を活用します。

• ディスラプションの成功は、多くの場合、規模の問題です。最も効果的な混乱は、幅広い影響をもたらします。これを達成するために、事業者は下流の顧客や依存関係 (ウクライナの電力網など) を持つ重要なターゲットを妨害することに集中するか、多数のターゲットを直接妨害することができます (NotPetya の場合のように)。
• 重要なインフラストラクチャと運用テクノロジ ネットワークに対する攻撃は、他の方法よりも多くの実践的な作業とリード タイムを必要とする場合があります。 TEMP.Isotope などの攻撃者は、これらの標的を侵害することに対して積極的な姿勢を取っているようです。そのため、この種の標的は、このような緊急事態のために、この危機のかなり前に危険にさらされている可能性があります。これらのネットワークの防御者は、TEMP.Isotope などの攻撃者を探すことを検討する必要があります。
• あるいは、破壊的なツールやその他のより単純な方法を、多数の標的集団に対して同時に活用することもできます。通常、ロシアの攻撃者は戦略的な Web 侵害とソフトウェア サプライ チェーンを利用して、この規模のアクセスを取得しています。これらの方法による大量の伝播は、差し迫ったサイバー攻撃の早期警告である可能性があります.
• 攻撃の加害者は、多くの場合、過失の証拠を捏造したり、他の当事者が事件に責任があることを示唆するように設計された責任の虚偽の声明を作成します.彼らはコードに証拠を植え付け、これまで知られていなかったナショナリスト分子、犯罪者、または政府のハッカーによって事件が実行されたことを示唆する公式声明を発表します。最近のウクライナでの事件のように、ワイパーはランサムウェアになりすましたことが何度もありました。これらの「偽旗」はたいてい紙のように薄いものですが、一般の人々に帰属を納得させ、これらの操作をより否定的にするための努力を複雑にしています。
• ランサムウェアは、疑わしい金銭的動機を持つ「ロック アンド リーク」キャンペーンの一環として、国家関連の攻撃者によって使用されているサイバー攻撃の一種です。成熟した犯罪者の地下組織があるため、ロシアはこの能力への比類のないアクセスを持っています。治安部隊は以前、国家安全保障の目的で犯罪活動を利用しており、その任務を遂行するためにさまざまな方法でそれらを実行に移す可能性があります。
• この危機でこれまでに観察された破壊的な攻撃は、政府のシステムに集中しているように見えますが、通常は民間のシステムが最大の効果を狙っています。これらの攻撃者は、公益事業を標的にすることに特に成功していますが、運輸と物流、金融、メディアも標的にすることで成功しています。
• サイバー攻撃は、ほとんどの場合、情報操作の一形態として利用されます。つまり、永続的な破壊的な影響を与えるのではなく、知覚を操作することを目的としています。防御側は、これらのアクターが目標を達成するために必要な技術的能力を過大評価し、技術的に単純な操作の価値を過小評価することがよくあります。

見通し

サイバー能力は、紛争に発展する可能性のある暴力や不可逆的な損害を被ることなく、国家が政治的、経済的、軍事的優位性を競うための手段です。 2016 年の米国選挙作戦や NotPetya 事件などの情報操作とサイバー攻撃は、政治的および経済的に深刻な結果をもたらす可能性がありますが、ロシアは、これらの操作が紛争の大幅なエスカレーションにつながらないと合理的に期待できるため、それらを支持する可能性があります。

Mandiant は、防御側が積極的な対策を講じてネットワークを強化することを推奨しており、このプロセスのガイドである「積極的な準備と破壊的な攻撃から保護するための強化」を無料で公開しています。

適格な組織は、 Mandiant Advantageへの無料アクセスも利用できます。このプラットフォームにアクセスすることで、ユーザーはまだ公開されていない Mandiant の諜報活動から追加の詳細情報を取得できます。