Googleが追い詰めたハック集団の正体

Google TAGは機密データを狙うハッカー集団の存在を暴露した。これらの組織は世界各地で活動し、中には公然とそのサービスを宣伝しているものもある。その正体と活動の内容は。

[David Jones，Cybersecurity Dive]

　Google Threat Analysis Group（TAG）は2022年6月30日に公開したブログ記事で、ロシア、インド、アラブ首長国連邦（UAE）で活動するハックフォーハイヤーグループ（雇われハッカー集団）を摘発した（注1）。

　ハックフォーハイヤーは、データの流出やアカウントの侵害といった企業スパイ活動を行い、人権団体、政治活動家、ジャーナリストなど、機密性の高いオンライン空間で活動するユーザーをターゲットにしている。

　ハックフォーハイヤーグループは、サードパーティーの調査サービスや他の外部請負業者と連携していることが多い。

Googleが追い詰めたハック集団の正体

　研究者によると、ハックフォーハイヤーグループはさまざまな方法でターゲットを追い、ある集団は公然とそのサービスを宣伝し、またある集団はより厳選された潜在顧客グループとの取引を勧誘している。

　TAGは、インドを拠点とする攻撃者グループを追跡した。攻撃者グループの中には、AppinやBelltroxなどの攻撃的なセキュリティ企業での経験がある人物もいた。研究者はこれらの元従業員を、企業スパイを公然と宣伝しているRebsecという新興企業に結び付けた。

　ある攻撃者グループは、サウジアラビア、UAE、バーレーンのターゲットに対して、特に政府、通信、医療に重点を置いた認証情報のフィッシングキャンペーンを開始した。この活動は、GoogleやAmazon Web Servicesのアカウントを侵害することに重点を置き、特定の政府機関を狙うケースもあった。

　Void Balaurとして知られるロシア関連のグループは、2017年のジャーナリストに対する攻撃キャンペーンを調査している際に発見された。攻撃者は、他のジャーナリスト、非政府組織（NGO）、非営利団体、政治家を標的にしていると確認された。

　攻撃者が使用する誘い文句の中には、偽のGmailアカウントやロシア政府のなりすましサイトが含まれている。研究者によると、攻撃者は標的のアカウントを侵害した後、「Thunderbird」のような正規のアプリケーションに「OAuth」トークンを使用する。あるいは、攻撃者は、IMAP経由でアプリのパスワードを生成する。このグループは、「Gmail」「Hotmail」「Yahoo!」のアカウントを標的にしている。

　UAEを拠点とする攻撃者グループは、政府組織やNGO、教育機関など、主に中東や北アフリカのターゲットを標的にしている。敵対勢力は、パレスチナのファタハ党や中東情勢に焦点を当てた欧州ベースのNGOをターゲットにしている。

　この攻撃者は、「Selenium」と呼ばれる自動化されたWebブラウザースイートを含む、カスタムフィッシングキットを使用している。このグループは、2014年のMicrosoftの訴訟の対象となった、「H-Worm」の開発者とも関連がある（注2）。

　これらの攻撃者にリンクしているWebサイトやドメインは、セーフブラウジングに追加されている。サイバー犯罪捜査班（CyberCrime Investigation Group）は、情報および侵害の指標を法執行機関と共有している。

（出典）Google TAG exposes hack-for-hire groups targeting activists and sensitive data（Cybersecurity Dive）

注1：Countering hack-for-hire groups

注2：Microsoft takes on global cybercrime epidemic in tenth malware disruption