米国FBI、欧州各国の警察、Europolが連携してサイバー犯罪者のネットワークを破壊 - オペレーション・エンドゲーム (2024.05.30)

こんにちは、丸山満彦です。

米国のFBI、欧州各国の警察、Europolが、オペレーション・エンドゲームでサイバー犯罪者のネットワークを破壊し、4名を逮捕したようですね...

サイバー犯罪は国際犯罪なので、捜査機関の国際連携が重要ですよね...今回のオペレーションには、日本が含まれていませんが、日本の警察も国際的に連携していますよね...

関わった捜査機関のある国...

米国、EU（デンマーク、フランス、ドイツ、オランダ）、英国、ポルトガル、ウクライナ

 

● U.S. Federal Bureau of Investigation

・2024.05.30 Operation Endgame: Coordinated Worldwide Law Enforcement Action Against Network of Cybercriminals

Operation Endgame: Coordinated Worldwide Law Enforcement Action Against Network of Cybercriminals	オペレーション・エンドゲーム サイバー犯罪者ネットワークに対する世界的な法執行機関の連携行動
The Federal Bureau of Investigation announces major worldwide disruption of malware in international cyber operation	連邦捜査局が国際的なサイバー作戦でマルウェアの世界的な大混乱を発表
The Federal Bureau of Investigation (FBI) announces Operation Endgame, a multinational coordinated cyber operation by the United States, Denmark, France, Germany, the Netherlands, and the United Kingdom, with assistance from Europol and Eurojust, to dismantle criminal infrastructure responsible for hundreds of millions of dollars in damages worldwide. Law enforcement in Ukraine, Portugal, Romania, Lithuania, Bulgaria, and Switzerland supported police actions to arrest or interview suspects, conduct searches, and seize or take down servers.	連邦捜査局（FBI）は、米国、デンマーク、フランス、ドイツ、オランダ、英国が欧州刑事警察機構（Europol）および欧州司法機構（Eurojust）の支援を受け、全世界で数億ドルの被害をもたらしている犯罪インフラを解体するため、多国間で連携したサイバー作戦「オペレーション・エンドゲーム（Operation Endgame）」を実施したことを発表した。ウクライナ、ポルトガル、ルーマニア、リトアニア、ブルガリア、スイスの法執行機関は、容疑者の逮捕や事情聴取、捜査、サーバーの押収や停止を行う警察の行動を支援した。
Beginning on May 28, 2024, the first coordinated international operation of its kind involved a dozen countries that conducted searches, questioned or arrested subjects, and took down or disrupted more than 100 servers to defeat multiple malware variants. The malware “droppers” and “loaders” were used to gain access to victim’s computers, either dropping ransomware or other malware used to collect and steal personal and financial login information.	2024年5月28日から、この種のものとしては初の国際的な協調作戦が12カ国で実施され、複数のマルウェア亜種を駆除するために、捜査、尋問、逮捕が行われ、100台以上のサーバーがダウンまたは停止された。マルウェアの「ドロッパー」と「ローダー」は、被害者のコンピュータにアクセスするために使用され、ランサムウェアや個人・金融ログイン情報を収集・窃取するために使用される他のマルウェアをドロップした。
“Operation Endgame demonstrates the FBI’s continued fight against cybercrime and malware-as-a-service models,” said FBI Director Christopher Wray. “Relying on our unique authorities and in close collaboration with our partners in a dozen countries, the FBI used joint and sequenced actions to run a first-of-its-kind international operation and debilitate the criminal infrastructure of multiple malware services. These malware services infected millions of computers and were responsible for attacks across the globe, including on health care facilities and critical infrastructure services. The fight against borderless cybercrime does not end here, and the FBI is committed to tackling this ever-evolving threat.”	「FBIのクリストファー・レイ長官は、「エンドゲーム作戦は、FBIがサイバー犯罪やマルウェア・アズ・ア・サービス・モデルと闘い続けていることを示している。「FBIは、独自の認可に基づき、12カ国のパートナーとの緊密な協力のもと、共同かつ連続的な行動により、これまでにない国際的な作戦を展開し、複数のマルウェア・サービスの犯罪基盤を崩壊させた。これらのマルウェア・サービスは、数百万台のコンピュータを感染させ、医療施設や重要インフラ・サービスなど、世界中で攻撃を仕掛けていた。ボーダーレスなサイバー犯罪との戦いはここで終わることはなく、FBIはこの日進月歩の脅威に全力で取り組んでいく」。
As part of Operation Endgame, the FBI and international partners took various actions to neutralize the threat posed by at least four malware groups, including IcedID, Smokeloader, Pikabot, and Bumblebee. These malware groups have infected millions of computers and claimed countless victims around the world and throughout the United States, including a hospital network, which not only cost millions of dollars but alarmingly put people’s lives at risk due to the compromised critical care online system.	オペレーション・エンドゲーム」の一環として、FBIと国際的なパートナーは、IcedID、Smokeloader、Pikabot、Bumblebeeを含む少なくとも4つのマルウェアグループがもたらす脅威を無力化するために様々な行動をとった。これらのマルウェアグループは、数百万台のコンピュータを感染させ、病院ネットワークを含む世界中および米国中で数え切れないほどの犠牲者を出しており、その被害額は数百万ドルに上っただけでなく、危殆化した重症患者オンラインシステムにより、驚くことに人々の生命が危険にさらされた。
“The results of Operation Endgame are astounding and send a strong message to cyber criminals around the world. The FBI has special agents, computer scientists, forensic accountants, and other employees with an expertise in science and technology and the determination to attack cybercriminal networks no matter where they are located,” said Robert M. DeWitt, the FBI Charlotte special agent in charge. “We are proud of the critical role FBI employees from field offices across the country played in this massive international takedown.”	オペレーション・エンドゲーム』の結果は驚くべきものであり、世界中のサイバー犯罪者に強いメッセージを送るものだ。FBIシャーロット特別捜査官のロバート・M・デウィット氏は、「FBIには、科学技術に精通し、サイバー犯罪者のネットワークがどこにあろうと攻撃する決意を持った特別捜査官、コンピューター科学者、科学捜査会計士、その他の職員がいる。「私たちは、この大規模な国際的摘発において、全米の支局のFBI職員が重要な役割を果たしたことを誇りに思う。
The FBI Charlotte, FBI Indianapolis, FBI Jacksonville, FBI Los Angeles, and FBI Cleveland Field Offices conducted the operation with close coordination and assistance from Defense Criminal Investigative Service, the United States Secret Service, the Danish National Police National Special Crime Unit, French National Police and National Gendarmerie, Germany’s Federal Criminal Police, Dutch National Police National Hi-Tech Crime Unit, Portugal’s Polícia Judiciária, Security Service of Ukraine, and United Kingdom’s National Crime Agency, with assistance from Europol and Eurojust.	FBIシャーロット支局、FBIインディアナポリス支局、FBIジャクソンビル支局、FBIロサンゼルス支局、FBIクリーブランド支局は、国防犯罪捜査局、米国シークレットサービス、デンマーク国家警察国家特殊犯罪ユニット、フランス国家警察および国家憲兵隊、ドイツ連邦刑事警察、オランダ国家警察国家ハイテク犯罪ユニット、ポルトガル司法警察、ウクライナ安全保障局、英国国家犯罪保障局からの緊密な連携と支援、欧州刑事警察機構および欧州司法機構からの支援を受けて、この作戦を実施した。

 

 

---

 

 

● EUROPOL

・2024.05.30 Largest ever operation against botnets hits dropper malware ecosystem

Largest ever operation against botnets hits dropper malware ecosystem	ボットネットに対する過去最大の作戦が、ドロッパー型マルウェアのエコシステムを直撃した。
International operation shut down droppers including IcedID, SystemBC, Pikabot, Smokeloader and Bumblebee leading to four arrests and takedown of over 100 servers worldwide	国際的な作戦により、IcedID、SystemBC、Pikabot、Smokeloader、Bumblebeeを含むドロッパーがシャットダウンされ、世界中で4人の逮捕者と100以上のサーバーのテイクダウンにつながった。
Between 27 and 29 May 2024 Operation Endgame, coordinated from Europol’s headquarters, targeted droppers including, IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee and Trickbot. The actions focused on disrupting criminal services through arresting High Value Targets, taking down the criminal infrastructures and freezing illegal proceeds. This approach had a global impact on the dropper ecosystem. The malware, whose infrastructure was taken down during the action days, facilitated attacks with ransomware and other malicious software. Following the action days, eight fugitives linked to these criminal activities, wanted by Germany, will be added to Europe’s Most Wanted list on 30 May 2024. The individuals are wanted for their involvement in serious cybercrime activities.	2024年5月27日から29日にかけて、欧州刑事警察機構本部から調整された「オペレーション・エンドゲーム」は、IcedID、SystemBC、Pikabot、Smokeloader、Bumblebee、Trickbotを含むドロッパーを標的とした。この行動は、高価値の標的を逮捕し、犯罪インフラを破壊し、違法収益を凍結することによって、犯罪サービスを混乱させることに重点を置いていた。このアプローチは、ドロッパーのエコシステムに世界的な影響を与えた。行動日中にインフラが破壊されたマルウェアは、ランサムウェアやその他の悪意あるソフトウェアによる攻撃を促進した。アクション・デイズの後、ドイツが指名手配しているこれらの犯罪行為に関連する8人の逃亡者が、2024年5月30日に欧州の最重要指名手配リストに追加される。これらの人物は、深刻なサイバー犯罪活動に関与しているとして指名手配されている。
This is the largest ever operation against botnets, which play a major role in the deployment of ransomware. The operation, initiated and led by France, Germany and the Netherlands was also supported by Eurojust and involved Denmark, the United Kingdom and the United States. In addition, Armenia, Bulgaria, Lithuania, Portugal, Romania, Switzerland and Ukraine also supported the operation with different actions, such as arrests, interviewing suspects, searches, and seizures or takedowns of servers and domains. The operation was also supported by a number of private partners at national and international level including Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus, DIVD, abuse.ch and Zscaler.	これは、ランサムウェアの展開に主要な役割を果たすボットネットに対する過去最大の作戦である。フランス、ドイツ、オランダが主導し、欧州司法機構も支援したこの作戦には、デンマーク、英国、米国も参加した。さらに、アルメニア、ブルガリア、リトアニア、ポルトガル、ルーマニア、スイス、ウクライナも、逮捕、容疑者への事情聴取、捜索、サーバーやドメインの差し押さえやテイクダウンなど、さまざまな行動でこの作戦を支援した。この作戦は、Bitdefender、Cryptolaemus、Sekoia、Shadowserver、Team Cymru、Prodaft、Proofpoint、NFIR、Computest、Northwave、Fox-IT、HaveIBeenPwned、Spamhaus、DIVD、abuse.ch、Zscalerなど、国内外レベルの多くの民間パートナーからも支援を受けた。
The coordinated actions led to:	協調行動により、以下のような結果がもたらされた：
・4 arrests (1 in Armenia and 3 in Ukraine)	・4人の逮捕者（アルメニアで1人、ウクライナで3人）
・16 location searches (1 in Armenia, 1 in the Netherlands, 3 in Portugal and 11 in Ukraine)	・16件の位置情報検索（アルメニア1件、オランダ1件、ポルトガル・3件、ウクライナ11件）
・Over 100 servers taken down or disrupted in Bulgaria, Canada, Germany, Lithuania, the Netherlands, Romania, Switzerland, the United Kingdom, the United States and Ukraine	・ブルガリア、カナダ、ドイツ、リトアニア、オランダ、ルーマニア、スイス、英国、米国、ウクライナで100以上のサーバーが停止または中断された。
・Over 2 000 domains under the control of law enforcement	・2,000以上のドメインが法執行機関の管理下にある
Furthermore, it has been discovered through the investigations so far that one of the main suspects has earned at least EUR 69 million in cryptocurrency by renting out criminal infrastructure sites to deploy ransomware. The suspect’s transactions are constantly being monitored and legal permission to seize these assets upon future actions has already been obtained.	さらに、これまでの捜査で、主犯格の1人がランサムウェアを展開するために犯罪インフラサイトを貸し出すことで、少なくとも6900万ユーロの暗号通貨を得ていたことが判明している。容疑者の取引は常に監視されており、今後の行動に応じてこれらの資産を差し押さえる法的許可もすでに得ている。
What is a dropper and how does it work?	ドロッパーとは何か、どのように機能するのか？
Malware droppers are a type of malicious software designed to install other malware onto a target system. They are used during the first stage of a malware attack, during which they allow criminals to bypass security measures and deploy additional harmful programs, such as viruses, ransomware, or spyware. Droppers themselves do not usually cause direct damage but are crucial for accessing and implementing harmful softwares on the affected systems.	マルウェア・ドロッパーは、ターゲット・システムに他のマルウェアをインストールするように設計された悪意のあるソフトウェアの一種である。マルウェア攻撃の最初のステージで使用され、犯罪者がセキュリティ対策を回避し、ウイルス、ランサムウェア、スパイウェアなどの有害なプログラムを追加展開することを可能にする。ドロッパー自体は通常、直接的な被害をもたらすことはないが、被害を受けたシステム上で有害なソフトウェアにアクセスし、それを実行するためには極めて重要である。
SystemBC facilitated anonymous communication between an infected system and a command-and-control servers. Bumblebee, distributed mainly via phishing campaigns or compromised websites, was designed to enable the delivery and execution of further payloads on compromised systems. SmokeLoader was primarily used as a downloader to install additional malicious softwares onto the systems it infects. IcedID (also known as BokBot), initially categorised as a banking trojan, had been further developed to serve other cybercrimes in addition to the theft of financial data. Pikabot is a trojan  used to get initial access to infected computers which enables ransomware deployments, remote computer take-over and data theft. All of them are now being used to deploy ransomware and are seen as the main threat in the infection chain.	SystemBCは、感染したシステムとコマンド・アンド・コントロール・サーバー間の匿名コミュニケーションを容易にした。Bumblebeeは、主にフィッシングキャンペーンや危険なウェブサイトを介して配布され、感染したシステム上でさらなるペイロードの配信と実行を可能にするように設計されていた。SmokeLoaderは主に、感染したシステムに追加の悪意のあるソフトウェアをインストールするためのダウンローダーとして使用された。IcedID（BokBotとしても知られる）は、当初はバンキング・トロイの木馬として分類されていたが、金融データの窃取に加え、他のサイバー犯罪に対応するためにさらに開発された。Pikabotはトロイの木馬で、感染したコンピューターへの初期アクセスに使用され、ランサムウェアの配備、コンピューターの遠隔操作、データの窃盗を可能にする。これらはすべて、ランサムウェアを展開するために使用されており、感染チェーンの主要な脅威とみなされている。
Droppers’ operation phases	ドロッパーの動作フェーズ
Infiltration: Droppers can enter systems through various channels, such as email attachments, compromised websites, they can also be bundled with legitimate software.	侵入： ドロッパーは、電子メールの添付ファイルや危険なウェブサイトなど、さまざまな経路でシステムに侵入する。
Execution: Once executed, the dropper installs the additional malware onto the victim's computer. This installation often occurs without the user's knowledge or consent.	実行： 実行されると、ドロッパーは被害者のコンピュータに追加のマルウェアをインストールする。このインストールは、ユーザーの認識や同意なしに行われることが多い。
Evasion: Droppers are designed to avoid detection by security software. They may use methods like obfuscating their code, running in memory without saving to disk, or impersonating legitimate software processes.	回避： ドロッパーは、セキュリティソフトウェアによる検知を回避するように設計されている。コードを難読化する、ディスクに保存せずにメモリ内で実行する、正規のソフトウェアプロセスになりすますなどの方法を使用することがある。
Payload Delivery: After deploying the additional malware, the dropper may either remain inactive or remove itself to evade detection, leaving the payload to carry out the intended malicious activities.	ペイロードの配信： 追加のマルウェアをデプロイした後、ドロッパーは非アクティブな状態を維持するか、検知を回避するために自身を削除する。
Endgame doesn’t end here	エンドゲームはここで終わらない
Operation Endgame does not end today. New actions will be announced on the website Operation Endgame. In addition, suspects involved in these and other botnets, who have not yet been arrested, will be directly called to account for their actions. Suspects and witnesses will find information on how to reach out via this website.	エンドゲーム作戦は今日で終わるわけではない。新たな活動は、ウェブサイト「オペレーション・エンドゲーム」で発表される。さらに、これらのボットネットやその他のボットネットに関与し、まだ逮捕されていない容疑者は、その行動に対して直接責任を問われることになる。容疑者や目撃者は、このウェブサイトから連絡する方法を見つけることができる。
Command post at Europol to coordinate the operational actions	欧州刑事警察機構の司令部が作戦行動を調整する
Europol facilitated the information exchange and provided analytical, crypto-tracing and forensic support to the investigation. To support the coordination of the operation, Europol organised more than 50 coordination calls with all the countries as well as an operational sprint at its headquarters.	欧州刑事警察機構は情報交換を促進し、捜査に分析、暗号追跡、法医学的支援を提供した。欧州刑事警察機構は、作戦の調整を支援するため、すべての国との50回を超える調整会議と、本部での作戦スプリントを組織した。
Over 20 law enforcement officers from Denmark, France, Germany and the United States supported the coordination of the operational actions from the command post at Europol and hundreds of other officers from the different countries involved in the actions. In addition, a virtual command post allowed real-time coordination between the Armenian, French, Portuguese and Ukrainian officers deployed on the spot during the field activities.	デンマーク、フランス、ドイツ、米国の20人以上の法執行官が、欧州刑事警察機構の指揮所から作戦行動の調整をサポートしたほか、作戦に参加した各国から数百人の警官が参加した。さらに、バーチャルな指揮所によって、現地活動中に現地に配置されたアルメニア人、フランス人、ポルトガル人、ウクライナ人の担当官の間でリアルタイムの調整が可能になった。
The command post at Europol facilitated the exchange of intelligence on seized servers, suspects and the transfer of seized data. Local command posts were also set up in Germany, the Netherlands, Portugal, the United States and Ukraine. Eurojust supported the action by setting up a coordination centre at its headquarters to facilitate the judicial cooperation between all authorities involved. Eurojust also assisted with the execution of European Arrest Warrants and European Investigation Orders.	欧州刑事警察機構の司令部は、押収したサーバー、容疑者、押収データの転送に関する情報交換を容易にした。ドイツ、オランダ、ポルトガル、米国、ウクライナにも現地司令部が設置された。欧州司法機構は、すべての関係当局間の司法協力を促進するため、本部に調整センターを設置し、この活動を支援した。欧州司法機構はまた、欧州逮捕状および欧州捜査令の執行も支援した。
National authorities at the core of Operation Endgame	エンドゲーム作戦の中核を担った各国当局
EU Member States:	EU加盟国
・Denmark: Danish Police (Politi)	・デンマーク デンマーク警察（Politi）
・France: National Gendarmerie (Gendarmerie Nationale) and National Police (Police Nationale); Public Prosecutor Office JUNALCO (National Jurisdiction against Organised Crime) Cybercrime Unit; Paris Judicial Police (Préfecture De Police de Paris)	・フランス 国家憲兵隊（Gendarmerie Nationale）および国家警察（Police Nationale）、ジュナルコ検察庁（National Jurisdiction against Organised Crime）サイバー犯罪ユニット、パリ司法警察（Préfecture De Police de Paris）。
・Germany: Federal Criminal Police Office (Bundeskriminalamt), Prosecutor General's Office Frankfurt am Main – Cyber Crime Center	・ドイツ 連邦刑事警察庁（Bundeskriminalamt）、フランクフルト・アム・マイン検事総長室 - サイバー犯罪センター
・Netherlands: National Police (Politie), Public Prosecution Office (Openbaar Ministerie)	・オランダ 国家警察（Politie）、検察庁（Openbaar Ministerie）
Non-EU Member States:	非EU加盟国
・The United Kingdom: National Crime Agency	・英国 国家犯罪局
・The United States: Federal Bureau of Investigation, United States Secret Service, The Defense Criminal Investigative Service, United States Department of Justice	・米国 連邦捜査局、米国シークレットサービス、国防総省犯罪捜査局、司法省
Authorities involved in local coordination centres for Operation Endgame:	オペレーション・エンドゲーム」の現地調整センターに関与する認可：
・Portugal: Judicial Police (Polícia Judiciária)	・ポルトガル 司法警察（Polícia Judiciária）
・Ukraine: Prosecutor General’s Office (Офіс Генерального прокурора); National Police (Національна поліція України); Security Service (Служба безпеки України)	・ウクライナ 検察総局（Офіс Генерального прокурора）、国家警察（Національна поліція України）、治安局（Служба безпеки України）