米国 司法省 重要インフラを標的とした2つのハッキングキャンペーンでロシア政府職員4人を起訴 (2022.03.24)

こんにちは、丸山満彦です。

米国司法省が、重要インフラを標的とした2つのハッキングキャンペーンでロシア政府職員4人を起訴したと公表していますね。。。

● Department of Justice: DOJ

・2022.03.24 Four Russian Government Employees Charged in Two Historical Hacking Campaigns Targeting Critical Infrastructure Worldwide

 

Four Russian Government Employees Charged in Two Historical Hacking Campaigns Targeting Critical Infrastructure Worldwide	世界の重要インフラを標的とした2つの歴史的なハッキングキャンペーンでロシア政府職員4人を起訴
Defendants’ Separate Campaigns Both Targeted Software and Hardware for Operational Technology Systems	被告らの別々のキャンペーンは、いずれもOTシステムのソフトウェアとハードウェアを標的としていました
WASHINGTON - The Department of Justice unsealed two indictments today charging four defendants, all Russian nationals who worked for the Russian government, with attempting, supporting and conducting computer intrusions that together, in two separate conspiracies, targeted the global energy sector between 2012 and 2018. In total, these hacking campaigns targeted thousands of computers, at hundreds of companies and organizations, in approximately 135 countries.	ワシントン - 司法省は本日、ロシア政府に勤務していたロシア国籍の被告人4名を、2012年から2018年の間に、2つの別々の共謀によって世界のエネルギー分野を標的としたコンピューター侵入を試み、支援し、実施した罪で起訴する2つの起訴状を公開しました。これらのハッキングキャンペーンは、合計で、約135カ国の数百の企業や組織で、数千台のコンピュータを標的としました。
A June 2021 indictment returned in the District of Columbia, United States v. Evgeny Viktorovich Gladkikh, concerns the alleged efforts of an employee of a Russian Ministry of Defense research institute and his co-conspirators to damage critical infrastructure outside the United States, thereby causing two separate emergency shutdowns at a foreign targeted facility. The conspiracy subsequently attempted to hack the computers of a U.S. company that managed similar critical infrastructure entities in the United States.	2021年6月にコロンビア特別区で起訴された合衆国対エブゲニー・ビクトロビッチ・グラッドキフは、ロシア国防省研究所の職員とその共謀者が米国外の重要インフラに損害を与え、それによって外国の標的施設に2度に渡る緊急停止を引き起こしたとする容疑に関わるものです。この共謀者はその後、米国内で同様の重要インフラ事業体を管理する米国企業のコンピューターへのハッキングを試みました。
An August 2021 indictment returned in the District of Kansas, United States v. Pavel Aleksandrovich Akulov, et al., details allegations about a separate, two-phased campaign undertaken by three officers of Russia’s Federal Security Service (FSB) and their co-conspirators to target and compromise the computers of hundreds of entities related to the energy sector worldwide. Access to such systems would have provided the Russian government the ability to, among other things, disrupt and damage such computer systems at a future time of its choosing.	2021年8月にカンザス州で起訴された合衆国対パベル アルクサンドロビッチ・アクロフ他は、ロシア連邦保安局（FSB）職員3人とその共謀者が、世界中のエネルギー部門に関連する数百の企業のコンピューターを標的にして侵害するために行った別の2段階のキャンペーンについての申し立てを詳述しています。このようなシステムにアクセスすることで、ロシア政府は、将来の好きな時にこのようなコンピュータ・システムを混乱させ、損害を与えることができるようになったのです。
“Russian state-sponsored hackers pose a serious and persistent threat to critical infrastructure both in the United States and around the world,” said Deputy Attorney General Lisa O. Monaco. “Although the criminal charges unsealed today reflect past activity, they make crystal clear the urgent ongoing need for American businesses to harden their defenses and remain vigilant. Alongside our partners here at home and abroad, the Department of Justice is committed to exposing and holding accountable state-sponsored hackers who threaten our critical infrastructure with cyber-attacks.”	司法長官代理のリサ・O・モナコは、次のように述べています。「ロシアの国家に支援されたハッカーは、米国および世界中の重要なインフラストラクチャに深刻かつ持続的な脅威を与えています。このようなハッカーは、米国および世界中の重要なインフラストラクチャに深刻かつ持続的な脅威を与えています。本日公開された刑事告発は過去の活動を反映したものですが、米国企業が防御を強化し、警戒を続けることが緊急に必要であることを明確に示しています。司法省は国内外のパートナーとともに、サイバー攻撃で重要インフラを脅かす国家によるハッカーの摘発と責任追及に全力を挙げています。」
“The FBI, along with our federal and international partners, is laser-focused on countering the significant cyber threat Russia poses to our critical infrastructure,” said FBI Deputy Director Paul Abbate. “We will continue to identify and quickly direct response assets to victims of Russian cyber activity; to arm our partners with the information that they need to deploy their own tools against the adversary; and to attribute the misconduct and impose consequences both seen and unseen.”	FBIのポール・アベイト副長官は、次のように述べています。「FBIは、連邦政府や国際的なパートナーとともに、ロシアが我々の重要なインフラにもたらす重大なサイバー脅威への対策に集中しています。私たちは、ロシアのサイバー攻撃の犠牲者を特定し、迅速に対応するための資産を提供し、パートナーが敵対者に対して独自のツールを展開するために必要な情報を提供し、不正行為を明らかにし、目に見えるものと見えないものの両方に結果をもたらすために、引き続き取り組んでいきます。」
“We face no greater cyber threat than actors seeking to compromise critical infrastructure, offenses which could harm those working at affected plants as well as the citizens who depend on them,” said U.S. Attorney Matthew M. Graves for the District of Columbia. “The department and my office will ensure that those attacking operational technology will be identified and prosecuted.”	コロンビア特別区の連邦検事マシュー・M・グレイブス氏は、次のように述べています。「重要インフラを侵害しようとする行為ほど大きなサイバー脅威はありません。こうした犯罪は、被害を受けた工場で働く人々や、工場に依存している市民を傷つける恐れがあります。コロンビア特別区と私の事務所は、運用技術を攻撃する者を特定し、確実に起訴します。」
“The potential of cyberattacks to disrupt, if not paralyze, the delivery of critical energy services to hospitals, homes, businesses and other locations essential to sustaining our communities is a reality in today’s world,” said U.S. Attorney Duston Slinkard for the District of Kansas. “We must acknowledge there are individuals actively seeking to wreak havoc on our nation’s vital infrastructure system, and we must remain vigilant in our effort to thwart such attacks. The Department of Justice is committed to the pursuit and prosecution of accused hackers as part of its mission to protect the safety and security of our nation.”	カンザス地区連邦検事ドストン・スリンカードは、次のように述べています。「サイバー攻撃は、病院、家庭、企業、その他地域社会の維持に不可欠な場所への重要なエネルギーサービスの提供を麻痺させないまでも、妨害する可能性があり、今日の世界では現実です。私たちは、国の重要なインフラシステムを破壊しようと積極的に活動している人物がいることを認識し、そのような攻撃を阻止するために警戒を怠らないようにしなければなりません。司法省は、我が国の安全とセキュリティを守る使命の一環として、告発されたハッカーの追跡と起訴に全力を尽くしています。」
In addition to unsealing these charges, the U.S. government is taking action to enhance private sector network defense efforts and disrupt similar malicious activity.	米国政府は、これらの告発の公表に加え、民間企業のネットワーク防御の取り組みを強化し、同様の悪質な活動を阻止するための措置をとっています。
The Department of Homeland Security’s Cybersecurity and Infrastructure Security Agency (CISA) has already released numerous Technical Alerts, ICS Alerts and Malware Analysis Reports regarding Russia’s malign cyber activities, including the campaigns discussed in the indictments. These are located at: https://www.cisa.gov/shields-up	国土安全保障省のサイバーセキュリティおよびインフラセキュリティ局（CISA）は、今回の起訴で取り上げられたキャンペーンを含むロシアの悪質なサイバー活動について、すでに多くの技術アラート、ICSアラート、マルウェア分析報告書を発表しています。これらの情報は、https://www.cisa.gov/shields-up に掲載されています。
United States v. Evgeny Viktorovich Gladkikh – defendant installed backdoors and launched malware designed to compromise the safety of energy facilities	合衆国対エブゲニー・ビクトロビッチ・グラッドキフで被告はバックドアをインストールし、エネルギー施設の安全性を損なうように設計されたマルウェアを起動しました。
In June 2021, a federal grand jury in the District of Columbia returned an indictment charging Evgeny Viktorovich Gladkikh (Евгений Викторович Гладких), 36, a computer programmer employed by an institute affiliated with the Russian Ministry of Defense, for his role in a campaign to hack industrial control systems (ICS) and operational technology (OT) of global energy facilities using techniques designed to enable future physical damage with potentially catastrophic effects.	2021年6月、コロンビア特別区の連邦大陪審は、ロシア国防省の関連機関に勤務するコンピュータープログラマー、エフゲニー・ビクトロビッチ・グラッドキフ（Евгений Викторович Гладких）、36歳の起訴状を提出しました。グローバルなエネルギー施設の産業制御システム（ICS）と運用技術（OT）を、将来的に壊滅的な影響を及ぼす可能性のある物理的損害を可能にするよう設計された技術を使用してハッキングするキャンペーンに関与したためです。
According to the indictment, between May and September 2017, the defendant and co-conspirators hacked the systems of a foreign refinery and installed malware, which cyber security researchers have referred to as “Triton” or “Trisis,” on a safety system produced by Schneider Electric, a multinational corporation. The conspirators designed the Triton malware to prevent the refinery’s safety systems from functioning (i.e., by causing the ICS to operate in an unsafe manner while appearing to be operating normally), granting the defendant and his co-conspirators the ability to cause damage to the refinery, injury to anyone nearby, and economic harm. However, when the defendant deployed the Triton malware, it caused a fault that led the refinery’s Schneider Electric safety systems to initiate two automatic emergency shutdowns of the refinery’s operations. Between February and July 2018, the conspirators researched similar refineries in the United States, which were owned by a U.S. company, and unsuccessfully attempted to hack the U.S. company’s computer systems.	起訴状によると、2017年5月から9月にかけて、被告と共謀者は外国の製油所のシステムをハッキングし、サイバーセキュリティ研究者が「Triton」または「Trisis」と呼んでいるマルウェアを、多国籍企業シュナイダーエレクトリックが製造する安全システムにインストールしたとのことです。共謀者は、製油所の安全システムが機能しないように（正常に動作しているように見せかけながら、ICSを危険な方法で動作させる）マルウェア「Triton」を設計し、被告とその共謀者に、製油所の被害、近隣住民への被害、経済的被害を引き起こす能力を付与したのです。しかし、被告がTritonマルウェアを展開した際、製油所のシュナイダーエレクトリック社の安全システムが製油所の操業を2回自動緊急停止させる不具合を発生させました。2018年2月から7月にかけて、共謀者は、米国企業が所有する米国内の同様の製油所を調査し、米国企業のコンピューターシステムのハッキングを試みましたが、失敗に終わっています。
The three-count indictment alleges that Gladkikh was an employee of the State Research Center of the Russian Federation FGUP Central Scientific Research Institute of Chemistry and Mechanics’ (Государственный научный центр Российской Федерации федеральное государственное унитарное предприятие Центральный научно-исследовательский институт химии и механики, hereinafter “TsNIIKhM”) Applied Developments Center (“Центр прикладных разработок,” hereinafter “ADC”). On its website, which was modified after the Triton attack became public, TsNIIKhM described itself as the Russian Ministry of Defense’s leading research organization. The ADC, in turn, publicly asserted that it engaged in research concerning information technology-related threats to critical infrastructure (i.e., that its research was defensive in nature).	3つの 起訴状によると、グラッドキフはロシア連邦の国家研究センター「FGUP中央科学研究所化学・機械研究所（Государственный научный центр Российской Федерации федеральное государственное унитарное предприятие Центральный научно- на маженый исследовательский институт химии и механики, 以下「TsNIIKhM」）応用開発センター（「Центр прикладных разработок」、以下「ADC」）」の職員であったとされています。TsNIIKhMは、Triton攻撃公開後に修正されたウェブサイトで、自らをロシア国防省の主要研究機関であると説明しています。一方、ADCは、重要インフラに対する情報技術関連の脅威に関する研究に従事していること（すなわち、その研究は防衛的な性格を有すること）を公言しました。
The defendant is charged with one count of conspiracy to cause damage to an energy facility, which carries a maximum sentence of 20 years in prison, one count of attempt to cause damage to an energy facility, which carries a maximum sentence of 20 years in prison, and one count of conspiracy to commit computer fraud, which carries a maximum sentence of five years in prison.	被告は、エネルギー施設に損害を与えるための共謀罪1件（最高懲役20年）、エネルギー施設に損害を与えようとした1件（最高懲役20年）、コンピューター詐欺を行った1件（最高懲役5年）の罪で起訴されました。
Assistant U.S. Attorneys Christopher B. Brown and Luke Jones for the District of Columbia, in partnership with the National Security Division’s Counterintelligence and Export Control Section, are prosecuting this case. The FBI’s Washington Field Office conducted the investigation.	コロンビア特別区連邦検事補のクリストファーB. ブラウンとルーク・ジョーンズは、国家安全保障局の防諜・輸出管理部門と共同で、この事件を起訴しています。FBIのワシントン支局が捜査を行いました。
The U.S.-based targets of the conspiracy cooperated and provided valuable assistance in the investigation. The Department of Justice and the FBI also expressed appreciation to Schneider Electric for its assistance in the investigation, particularly noting the company’s public outreach and education efforts following the overseas Triton attack.	米国に拠点を置く謀略の対象者は、捜査に協力し、貴重な支援を提供しました。司法省とFBIはまた、シュナイダーエレクトリック社の捜査への協力に感謝の意を表し、特に海外でのTriton攻撃後の同社の広報・教育活動に注目しました。
United States v. Pavel Aleksandrovich Akulov, Mikhail Mikhailovich Gavrilov, and Marat Valeryevich Tyukov – defendants undertook years-long effort to target and compromise computer systems of energy sector companies	合衆国対パベル・アレクサンドロビッチ・アクロフ、ミハエル・ミハイロビッチ・ガブリロフ、マラット・バレリビッチ・ツコフでは、被告はエネルギーセクター企業のコンピュータシステムを標的とし侵害するために数年にわたり活動をしていました。
On Aug. 26, 2021, a federal grand jury in Kansas City, Kansas, returned an indictment charging three computer hackers, all of whom were residents and nationals of the Russian Federation (Russia) and officers in Military Unit 71330 or “Center 16” of the FSB, with violating U.S. laws related to computer fraud and abuse, wire fraud, aggravated identity theft and causing damage to the property of an energy facility.	2021年8月26日、カンザスシティーの連邦大陪審は、全員がロシア連邦（ロシア）の居住者・国籍で、FSBの軍事ユニット71330または「センター16」の幹部である3人のコンピューターハッカーを、コンピューター詐欺と不正使用、電信詐欺、加重個人情報漏洩、エネルギー施設の財産への損害発生に関する米国法違反の罪で起訴しました。
The FSB hackers, Pavel Aleksandrovich Akulov (Павел Александрович Акулов), 36, Mikhail Mikhailovich Gavrilov (Михаил Михайлович Гаврилов), 42, and Marat Valeryevich Tyukov (Марат Валерьевич Тюков), 39, were members of a Center 16 operational unit known among cybersecurity researchers as “Dragonfly,” “Berzerk Bear,” “Energetic Bear,” and “Crouching Yeti.” The indictment alleges that, between 2012 and 2017, Akulov, Gavrilov, Tyukov and their co-conspirators, engaged in computer intrusions, including supply chain attacks, in furtherance of the Russian government’s efforts to maintain surreptitious, unauthorized and persistent access to the computer networks of companies and organizations in the international energy sector, including oil and gas firms, nuclear power plants, and utility and power transmission companies. Specifically, the conspirators targeted the software and hardware that controls equipment in power generation facilities, known as ICS or Supervisory Control and Data Acquisition (SCADA) systems. Access to such systems would have provided the Russian government the ability to, among other things, disrupt and damage such computer systems at a future time of its choosing.	FSBのハッカー、パベル・アレクサンドロビッチ・アクロフ (Павел Александрович Акулов）(36)、ミハエル・ミハリボッチ・ガブリロフ (Михаил Михайлович Гаврилов）(42) とマラット・バレリビッチ・ツコフ (Марат Валерьевич Тюков) (39) は、サイバーセキュリティ研究者の間で「ドラゴンフライ」「バーサークベア」「エネルギッシュベア」「クラウチングイエティ」として知られていたセンター16作戦部隊のメンバーであった。 起訴状では、2012年から2017年にかけて、アクロフ、ガブリロフ、ツコフおよびその共謀者が、石油・ガス会社、原子力発電所、電力会社・送電会社などの国際エネルギー分野の企業・組織のコンピューターネットワークへの密かな不正アクセスおよび持続的アクセスを維持するためのロシア政府の取り組みを推進し、サプライチェーン攻撃などのコンピューター侵入に従事したと申し立てています。具体的には、ICSやSCADA（Supervisory Control and Data Acquisition）システムと呼ばれる、発電施設の機器を制御するソフトウェアやハードウェアを標的としていました。このようなシステムにアクセスすることで、ロシア政府は、将来の好きなタイミングで、このようなコンピュータシステムを混乱させ、損害を与えることができるようになります。
According to the indictment, the energy sector campaign involved two phases. In the first phase, which took place between 2012 and 2014 and is commonly referred to by cyber security researchers as “Dragonfly” or “Havex,” the conspirators engaged in a supply chain attack, compromising the computer networks of ICS/SCADA system manufacturers and software providers and then hiding malware – known publicly as “Havex” – inside legitimate software updates for such systems. After unsuspecting customers downloaded Havex-infected updates, the conspirators would use the malware to, among other things, create backdoors into infected systems and scan victims’ networks for additional ICS/SCADA devices. Through these and other efforts, including spearphishing and “watering hole” attacks, the conspirators installed malware on more than 17,000 unique devices in the United States and abroad, including ICS/SCADA controllers used by power and energy companies.	起訴状によると、エネルギーセクターのキャンペーンは2つのフェーズに分かれていました。2012年から2014年にかけて行われた第1段階では、サイバーセキュリティ研究者の間では一般に「Dragonfly」または「Havex」と呼ばれています。共謀者はサプライチェーン攻撃を行い、ICS/SCADAシステムメーカーとソフトウェアプロバイダーのコンピュータネットワークを侵害し、そうしたシステムの正規ソフトウェア更新の中に「Havex」として公に知られているマルウェアを隠蔽していました。疑いを持たない顧客がHavexに感染したアップデートをダウンロードした後、共謀者はこのマルウェアを使って、感染したシステムにバックドアを設置し、被害者のネットワークをスキャンして追加のICS/SCADA機器を探すなどの行為を行いました。共謀者は、スピアフィッシングや「水飲み場」攻撃など、こうした取り組みを通じて、電力会社やエネルギー会社が使用するICS/SCADAコントローラを含む、米国内外の17,000以上のユニークなデバイスにマルウェアをインストールしたのです。
In the second phase, which took place between 2014 and 2017 and is commonly referred to as “Dragonfly 2.0,” the conspirators transitioned to more targeted compromises that focused on specific energy sector entities and individuals and engineers who worked with ICS/SCADA systems. As alleged in the indictment, the conspirators’ tactics included spearphishing attacks targeting more than 3,300 users at more than 500 U.S. and international companies and entities, in addition to U.S. government agencies such as the Nuclear Regulatory Commission. In some cases, the spearphishing attacks were successful, including in the compromise of the business network (i.e., involving computers not directly connected to ICS/SCADA equipment) of the Wolf Creek Nuclear Operating Corporation (Wolf Creek) in Burlington, Kansas, which operates a nuclear power plant. Moreover, after establishing an illegal foothold in a particular network, the conspirators typically used that foothold to penetrate further into the network by obtaining access to other computers and networks at the victim entity.	2014年から2017年にかけて行われ、一般に「Dragonfly 2.0」と呼ばれる第2フェーズでは、共謀者は、特定のエネルギー部門の事業体とICS/SCADAシステムを扱う個人およびエンジニアに焦点を当てた、より標的型の侵害行為へと移行しています。起訴状によると、共謀者たちの手口には、原子力規制委員会などの米国政府機関に加え、米国内外の500以上の企業や団体の3,300人以上のユーザーを標的としたスピアフィッシング攻撃も含まれていました。このスピアフィッシング攻撃は、原子力発電所を運営するカンザス州バーリントンのウルフクリーク原子力運営会社のビジネスネットワーク（ICS/SCADA機器に直接接続されていないコンピュータを含む）を侵害するなど、成功した事例もあります。さらに、共謀者は、特定のネットワークに違法な足場を築いた後、通常、その足場を利用して、被害企業の他のコンピュータやネットワークへのアクセスを取得し、ネットワークにさらに侵入していきました。
During the Dragonfly 2.0 phase, the conspirators also undertook a watering hole attack by compromising servers that hosted websites commonly visited by ICS/SCADA system and other energy sector engineers through publicly known vulnerabilities in content management software. When the engineers browsed to a compromised website, the conspirators’ hidden scripts deployed malware designed to capture login credentials onto their computers.	Dragonfly 2.0の段階では、コンテンツ管理ソフトウェアの既知の脆弱性を利用して、ICS/SCADAシステムやその他のエネルギー部門のエンジニアがよく閲覧するウェブサイトをホストするサーバーを侵害し、水飲み場攻撃も行いました。エンジニアが侵害されたウェブサイトを閲覧すると、共謀者の隠しスクリプトにより、ログイン情報を取得するためのマルウェアがエンジニアのコンピュータに展開されました。
The conspiracy’s hacking campaign targeted victims in the United States and in more than 135 other countries.	このハッキングキャンペーンは、米国をはじめ135カ国以上の被害者を対象としていました。
Akulov, Gavrilov and Tyukov are charged with conspiracy to cause damage to the property of an energy facility and commit computer fraud and abuse, which carries a maximum sentence of five years in prison, and conspiracy to commit wire fraud, which carries a maximum sentence of 20 years in prison. Akulov and Gavrilov are also charged with substantive counts of wire fraud and computer fraud related to unlawfully obtaining information from computers and causing damage to computers. These offenses carry maximum sentences ranging from five to 20 years in prison. Finally, Akulov and Gavrilov are also charged with three counts of aggravated identity theft, each of which carry a minimum sentence of two years consecutive to any other sentence imposed.	アクロフ、ガブリロフ、ツコフの3人は、エネルギー施設の財産に損害を与え、コンピューター詐欺と不正使用を行った共謀の罪に問われており、最高刑は懲役5年、電信詐欺の共謀は最高刑懲役20年となっています。また、アクロフとガブリロフは、コンピュータから違法に情報を取得し、コンピュータに損害を与えたことに関する電信詐欺とコンピュータ詐欺の実質的な訴因でも起訴されています。これらの犯罪には、最高で5年から20年の懲役刑が科されます。最後に、アクロフとガブリロフは、加重ID窃盗の3つの訴因でも起訴されており、これらの訴因には、それぞれ最低2年の刑期が課され、他のいかなる刑期も継続されます。
Assistant U.S. Attorneys Scott Rask, Christopher Oakley and Ryan Huschka for the District of Kansas, and Counsel for Cyber Investigations Ali Ahmad and Trial Attorney Christine Bonomo of the National Security Division’s Counterintelligence and Export Control Section are prosecuting this case. The FBI’s Portland and Richmond field offices conducted the investigation, with the assistance of the FBI’s Cyber Division.	カンザス州のスコット・ラスク、クリストファー・オークレイ、ライアン・マシュカの各米国弁護士補、国家安全保障局防諜・輸出管理課のアリ・アーマド サイバー捜査担当顧問とクリスティン・ボノモ裁判弁護士がこの事件を起訴しています。FBIのポートランド支局とリッチモンド支局が、FBIのサイバー課の協力のもと、捜査を実施しました。
Numerous victims, including Wolf Creek and its owners Evergy and the Kansas Electric Power Cooperative, cooperated and provided invaluable assistance in the investigation.	ウルフ・クリークとその所有者であるエバージ、カンザス電力協同組合を含む多数の被害者が、捜査に協力し、貴重な援助を提供しました。
An indictment is merely an allegation, and all defendants are presumed innocent until proven guilty beyond a reasonable doubt in a court of law. A federal district court judge will determine any sentence after considering the U.S. Sentencing Guidelines and other statutory factors.	起訴は単なる申し立てに過ぎず、すべての被告人は法廷で合理的な疑いを超えて有罪と証明されるまでは無罪と推定されます。連邦地裁の裁判官は、米国量刑ガイドラインおよびその他の法定要素を考慮した上で、判決を決定します。