Last Updated on 2024-10-29 07:59 by admin
ロシアのハッカー集団「UNC5812」が、ウクライナの軍事徴用を妨害する新たなサイバー攻撃キャンペーンを展開していることが、2024年10月28日にGoogleのThreat Analysis GroupとMandiantの調査で明らかになった。
攻撃の主な内容
– 「Civil Defense(民間防衛)」を装ったTelegramチャンネルを開設し、2024年9月18日時点で8万人のフォロワーを獲得
– 徴用官の位置を共有できるという偽アプリ「Sunspinner」を配布
– Windows向けには情報窃取マルウェア「PureStealer」を配布
– Android向けには遠隔操作型マルウェア「CraxsRAT」を配布
この攻撃は、2024年初めにウクライナで施行された新しい動員法(徴用最低年齢を25歳に引き下げ)に対する不安を利用している。
収集される情報
攻撃者は被害者のデバイスから以下の情報を収集:
– ブラウザに保存されたパスワード
– 暗号通貨ウォレット情報
– メールクライアントデータ
– メッセージングアプリのデータ
– リアルタイムの位置情報
– キーストローク
– 音声録音
– 連絡先リスト
– SMSメッセージ
Googleは既にGoogle Play Protectの保護機能を更新し、この悪意のあるアプリケーションの検出とブロックを実施している。
from:Russia Kneecaps Ukraine Army Recruitment With Spoofed ‘Civil Defense’ App
【編集部解説】
今回のロシアによるサイバー攻撃は、単なるマルウェアの配布だけでなく、ソーシャルエンジニアリングと心理戦を組み合わせた高度なハイブリッド作戦として注目に値します。
特筆すべきは、Telegramというメッセージングプラットフォームを活用した攻撃手法です。ウクライナでは戦況情報の共有にTelegramが広く使われており、8万人以上のフォロワーを持つミサイル警報チャンネルを利用して拡散を図るなど、現地の情報収集習慣を巧みに利用しています。
この作戦の背景には、2024年初めにウクライナで施行された新しい動員法があります。徴用年齢の引き下げにより、若い世代の間で徴用への不安が高まっていた時期を狙った展開となっています。
技術面では、WindowsとAndroidの両プラットフォームを標的にした点が特徴的です。特にAndroidユーザーに対しては、Google Play Protectの無効化を促すという大胆な手法を取っています。これは一見すると不自然ですが、ウクライナではサードパーティ製アプリの利用が一般的であることを考慮した戦略といえます。
より広い文脈では、この作戦はロシアによるサイバー戦略の変化を示しています。2024年前半には、ウクライナの防衛・安全保障セクターに対するサイバー攻撃が前年比で2倍以上に増加しており、より標的を絞った作戦にシフトしていることが分かります。
このような攻撃に対する防御は困難を極めます。なぜなら、正規のコミュニケーションチャネルを利用し、実在する社会不安を利用するため、一般ユーザーが真偽を判断することが極めて難しいためです。
今後は同様の手法が他の紛争地域や、一般的な犯罪組織にも応用される可能性があり、グローバルなサイバーセキュリティに新たな課題を投げかけています。