サウジの石油化学工場と米の原発をハックしたロシア人スパイを起訴

合衆国司法省は4人のロシア政府被雇用者を、米国の原子力発電所やサウジの石油化学工場など、重要なインフラストラクチャを狙った数年間に及ぶハッキング作戦で起訴したことを発表した

最初の2021年6月の起訴は、ロシア国防省のプログラマーEvgeny Viktorovich Gladkikh氏(36)と二人の共犯者を、全世界のエネルギー施設の、工場の正常な稼働に欠かせない制御システムのハッキングを計画した、と告発している。Gladkikh氏は悪名高いTritonマルウェアの作者と疑われており、それは2017年のサウジアラビアの石油化学工場に対する攻撃で使われた。ハッカーたちはそのマルウェアを使って、工場の安全システムを不能にしようとした。それは、液漏れや爆発などの危険な状況を防ぐためのシステムだ。Tritonとロシアが初めて結び付けられたのは2018年の10月だ。

司法省によると、サウジの工場を爆破する計画に失敗したハッカーたちは、合衆国の同様に重要なインフラストラクチャを管理している企業のコンピューターをハックしようとした。

2021年8月付の第二の起訴は、Pavel Aleksandrovich Akulov氏とMikhail Mikhailovich Gavrilov氏、およびMarat Valeryevich Tyukov氏を訴えている。全員がロシアの連邦セキュリティビューローFSBの71330部隊のメンバーで、2012年から2017年にかけてエネルギー部門を狙った攻撃を数多く仕掛けている。このハッカーたちはセキュリティ研究者の間では「DragonFly」、「Energetic Bear」、「Crouching Yeti」などの名前で知られ、石油やガス、原子力発電、公益事業、送電企業など、国際的なエネルギーセクターに属する企業のコンピューターネットワークへのアクセスを試みた。

彼らの攻撃の最初のステージは2012年から2014年にかけて行われ、工場用の制御装置のメーカーやソフトウェア提供企業のネットワークを侵犯し、それからHavexマルウェアをソフトウェアアップデートの中に忍ばせた。これと、スピアフィッシングと水飲み場型攻撃を組み合わせた犯行により、ターゲットがよく訪れるWebサイトに感染し、マルウェアをインストールさせる。これまで、合衆国と海外を合わせて17000台以上のユニークなデバイスに感染した、とされている。

二度目の、「DragonFly 2.0」と呼ばれる段階は2014年から2017年にかけて行われ、合衆国およびグローバルの500社あまりの企業の3300名以上のユーザーが狙われた。その中には合衆国政府の原子力規制委員会(Nuclear Regulatory Commission)やWolf Creek原子力発電所も含まれている。

合衆国の副司法長官、Lisa Monaco氏は声明でこう述べている。「ロシアの国が支えているハッカーは合衆国と全世界両方の重要なインフラストラクチャにとって深刻で恒常的な脅威だ。本日の刑事訴追は過去の活動を反映するものであるが、それによって明らかになったのは、米国の企業が防御を強化して警戒を怠らないことの、喫緊かつ継続的な必要性だ」。

Mandiant(マンディアント)の諜報分析担当副社長John Hultquist氏によると、今回の起訴で垣間見えるようになったのは、ロシアの国が支えるハッキング行為における、FSBの役割だ。起訴はまた、こういう破壊的なサイバー攻撃を実行するロシアの侵入グループへの「警報射撃」でもある。「犯行は個人によるものなので、起訴は、これらのプログラムで仕事をしている者全員に、当分ロシアを出るなと告げている」、とHultquist氏は言っている。

しかしHultquist氏は、ハッカーたちはこれらのネットワークへのアクセスを維持するだろう、と警告する。「重要なのは、私たちが、破壊攻撃の現場を目撃していないことだ。将来の不測の事態に備えて、重要な機密情報をほじくり返しているだけだ。最近の事件に関する私たちの懸念は、それがまさに、私たちがずっと待っていた不測の事態かも知れないことだ」。

Dragosの上級索敵員Casey Brooks氏はTritonマルウェアの背後にいるグループを「Xenotime」と呼び、本誌の取材に対して「起訴がハッカーたちを思いとどまらせることはない」、と言っている。

「これらの犯行グループはリソースにも恵まれ、継続的で複雑な仕事を実行できる。今回の起訴でこれらのグループの一部の、侵入行為の詳細は分かるが、彼らの広がりはもっと大きい。たとえば、Xenotimeにとってこれは、彼らの活動全体のごく一部でしかないことを、私たちは知っている。重要なのは、これらのグループが今なお健在であり、訴状はこれら敵対集団の未来の犯行を抑止するために、ほとんど役に立たないと理解することだ」。

訴状が公表されたのはジョー・バイデン大統領が、ロシアのウクライナ侵攻に対して西側が制裁を科したため、対抗して合衆国企業に対するロシアのサイバー攻撃の可能性が増えていることを、警告してから三日後のことだ。また数日前に司法省は、ロシアの軍事諜報サービスGRUで仕事をしていた6名のハッカーを訴追した。そのハッカーグループはSandwormと呼ばれ、5年間の活発な犯行を告発された。それらの中には、2017年に世界中の数百の企業と病院を狙った破壊的なNotPetyaサイバー攻撃や、ウクライナの送電網を破壊したサイバー攻撃がある。

(文:Carly Page、翻訳:Hiroshi Iwatani)
画像クレジット: David McNew/Getty Images

[原文へ]

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。