Googleが追い詰めたハック集団の正体
Google TAGは機密データを狙うハッカー集団の存在を暴露した。これらの組織は世界各地で活動し、中には公然とそのサービスを宣伝しているものもある。その正体と活動の内容は。
Google Threat Analysis Group(TAG)は2022年6月30日に公開したブログ記事で、ロシア、インド、アラブ首長国連邦(UAE)で活動するハックフォーハイヤーグループ(雇われハッカー集団)を摘発した(注1)。
ハックフォーハイヤーは、データの流出やアカウントの侵害といった企業スパイ活動を行い、人権団体、政治活動家、ジャーナリストなど、機密性の高いオンライン空間で活動するユーザーをターゲットにしている。
ハックフォーハイヤーグループは、サードパーティーの調査サービスや他の外部請負業者と連携していることが多い。
Googleが追い詰めたハック集団の正体
研究者によると、ハックフォーハイヤーグループはさまざまな方法でターゲットを追い、ある集団は公然とそのサービスを宣伝し、またある集団はより厳選された潜在顧客グループとの取引を勧誘している。
TAGは、インドを拠点とする攻撃者グループを追跡した。攻撃者グループの中には、AppinやBelltroxなどの攻撃的なセキュリティ企業での経験がある人物もいた。研究者はこれらの元従業員を、企業スパイを公然と宣伝しているRebsecという新興企業に結び付けた。
ある攻撃者グループは、サウジアラビア、UAE、バーレーンのターゲットに対して、特に政府、通信、医療に重点を置いた認証情報のフィッシングキャンペーンを開始した。この活動は、GoogleやAmazon Web Servicesのアカウントを侵害することに重点を置き、特定の政府機関を狙うケースもあった。
Void Balaurとして知られるロシア関連のグループは、2017年のジャーナリストに対する攻撃キャンペーンを調査している際に発見された。攻撃者は、他のジャーナリスト、非政府組織(NGO)、非営利団体、政治家を標的にしていると確認された。
攻撃者が使用する誘い文句の中には、偽のGmailアカウントやロシア政府のなりすましサイトが含まれている。研究者によると、攻撃者は標的のアカウントを侵害した後、「Thunderbird」のような正規のアプリケーションに「OAuth」トークンを使用する。あるいは、攻撃者は、IMAP経由でアプリのパスワードを生成する。このグループは、「Gmail」「Hotmail」「Yahoo!」のアカウントを標的にしている。
UAEを拠点とする攻撃者グループは、政府組織やNGO、教育機関など、主に中東や北アフリカのターゲットを標的にしている。敵対勢力は、パレスチナのファタハ党や中東情勢に焦点を当てた欧州ベースのNGOをターゲットにしている。
この攻撃者は、「Selenium」と呼ばれる自動化されたWebブラウザースイートを含む、カスタムフィッシングキットを使用している。このグループは、2014年のMicrosoftの訴訟の対象となった、「H-Worm」の開発者とも関連がある(注2)。
これらの攻撃者にリンクしているWebサイトやドメインは、セーフブラウジングに追加されている。サイバー犯罪捜査班(CyberCrime Investigation Group)は、情報および侵害の指標を法執行機関と共有している。
© Industry Dive. All rights reserved.