« 個人情報保護委員会 いわゆる3年ごと見直しに係る検討関係(第299回委員会、第2回検討会) | Main | 米国 NSA "No Such Agency"による"No Such Podcast" が2024.09.05から始まりました(毎週 6回シリーズ) »

2024.09.07

米国他 ロシア軍のサイバー工作員が米国およびグローバルな重要インフラを標的にしているので注意してください...

こんにちは、丸山満彦です。

米国の財務省、国務省、サイバーコマンド他、オランダ、チェコ、ドイツ、エストニア、ラトビア、ウクライナ、カナダ、オーストラリア、英国が共同で、警告をだしていますね...

ロシアのGRUユニット29155 サイバー・コンポーネントが攻撃者のようです...

 

CISA

・2024.09.05 Russian Military Cyber Actors Target US and Global Critical Infrastructure

 

Russian Military Cyber Actors Target US and Global Critical Infrastructure ロシア軍のサイバー工作員が米国およびグローバルな重要インフラを標的に
Summary 要約
The Federal Bureau of Investigation (FBI), Cybersecurity and Infrastructure Security Agency (CISA), and National Security Agency (NSA) assess that cyber actors affiliated with the Russian General Staff Main Intelligence Directorate (GRU) 161st Specialist Training Center (Unit 29155) are responsible for computer network operations against global targets for the purposes of espionage, sabotage, and reputational harm since at least 2020. GRU Unit 29155 cyber actors began deploying the destructive WhisperGate malware against multiple Ukrainian victim organizations as early as January 13, 2022. These cyber actors are separate from other known and more established GRU-affiliated cyber groups, such as Unit 26165 and Unit 74455. 連邦捜査局(FBI)、サイバーセキュリティ・インフラセキュリティ庁(CISA)、国家安全保障局(NSA)は、2020年以降、ロシア連邦軍参謀本部情報総局(GRU)第161特殊訓練センター(Unit 29155)に所属するサイバーアクターが、スパイ行為、妨害行為、風評被害を目的とした世界的な標的に対するコンピューターネットワーク操作の責任者であるとアセスメントしている。GRU Unit 29155のサイバー犯罪者は、2022年1月13日には早くも、複数のウクライナの被害組織に対して破壊的なWhisperGateマルウェアの展開を開始していた。これらのサイバー犯罪者は、Unit 26165やUnit 74455といった、より確立されたGRU関連のサイバーグループとは別物である。
・To mitigate this malicious cyber activity, organizations should take the following actions today: ・この悪意あるサイバー活動を低減するために、組織は今日から以下の対策を講じるべきである。
・Prioritize routine system updates and remediate known exploited vulnerabilities. ・定期的なシステム更新を優先し、既知の脆弱性を修正する。
・Segment networks to prevent the spread of malicious activity. ・悪意ある活動の拡大を防ぐためにネットワークをセグメント化する。
Enable phishing-resistant multifactor authentication (MFA) for all externally facing account services, especially for webmail, virtual private networks (VPNs), and accounts that access critical systems. フィッシング対策の多要素認証(MFA)を、外部に公開されているすべてのアカウントサービス、特にウェブメール、VPN(仮想プライベートネットワーク)、および重要なシステムにアクセスするアカウントに対して有効にする。
This Cybersecurity Advisory provides tactics, techniques, and procedures (TTPs) associated with Unit 29155 cyber actors—both during and succeeding their deployment of WhisperGate against Ukraine—as well as further analysis (see Appendix A) of the WhisperGate malware initially published in the joint advisory, Destructive Malware Targeting Organizations in Ukraine, published February 26, 2022. このサイバーセキュリティ勧告では、Unit 29155のサイバー犯罪者に関連する戦術、技術、手順(TTP)を、ウクライナに対するWhisperGateの展開中および展開後に提供するとともに、2022年2月26日に発表された共同勧告「ウクライナの組織を標的とする破壊的マルウェア」で最初に公開されたWhisperGateマルウェアのさらなる分析(附属書Aを参照)も提供する。
FBI, CISA, NSA and the following partners are releasing this joint advisory as a collective assessment of Unit 29155 cyber operations since 2020: FBI、CISA、NSA、および以下のパートナーは、2020年以降のUnit 29155サイバー作戦の総合的なアセスメントとして、本共同声明を発表する。
・U.S. Department of the Treasury ・米国財務省
・U.S. Department of State (Rewards for Justice) ・米国国務省(正義への報い)
・U.S. Cyber Command Cyber National Mission Force (CNMF) ・米国サイバーコマンド サイバー国家任務部隊(CNMF
・Netherlands Defence Intelligence and Security Service (MIVD) ・オランダ国防情報局(MIVD
・Czech Military Intelligence (VZ) ・チェコ軍情報局(VZ)
・Czech Republic Security Information Service (BIS) ・チェコ共和国安全保障情報局(BIS)
・German Federal Office for the Protection of the Constitution (BfV) ・ドイツ連邦憲法擁護庁(BfV)
・Estonian Internal Security Service (KAPO) ・エストニア国内治安局(KAPO)
・Latvian State Security Service (VDD) ・ラトビア国家保安庁(VDD)
・Security Service of Ukraine (SBU) ・ウクライナ保安庁(SBU)
・Computer Emergency Response Team of Ukraine (CERT-UA) ・ウクライナコンピューター緊急対応チーム(CERT-UA)
・Canadian Security Intelligence Service (CSIS) ・カナダ安全保障情報局(CSIS)
・Communications Security Establishment Canada (CSE) ・カナダ通信安全保障局(CSE)
・Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC) ・オーストラリア信号局オーストラリアサイバーセキュリティセンター(ASDのACSC)
・United Kingdom National Cyber Security Centre (NCSC-UK) ・英国国立サイバーセキュリティセンター(NCSC-UK)
For additional information on Russian state-sponsored malicious cyber activity and related indictments, see the recent U.S. Department of Justice (DOJ) press releases for June 26, 2024, and September 5, 2024, FBI’s Cyber Crime webpage, and CISA’s Russia Cyber Threat Overview and Advisories webpage. ロシア政府による悪意のあるサイバー活動および関連する起訴に関する追加情報は、米国司法省(DOJ)の2024年6月26日および9月5日付のプレスリリース、FBIのサイバー犯罪ウェブページ、およびCISAのロシアのサイバー脅威の概要および勧告ウェブページを参照のこと。

 

・[PDF

20240906-231635

 


 

英国

● NCSC-UK

・2024.09.05 UK and allies uncover Russian military unit carrying out cyber attacks and digital sabotage for the first time

UK and allies uncover Russian military unit carrying out cyber attacks and digital sabotage for the first time 英国および同盟国が、サイバー攻撃およびデジタル妨害工作を実行するロシア軍部隊を初めて特定
The NCSC and partners call out Russian GRU cyber actors Unit 29155 for campaign of malicious cyber activity since at least 2020. NCSCおよびパートナーは、少なくとも2020年以降の悪意あるサイバー活動キャンペーンに関与したロシア軍参謀本部第29155部隊を名指しで非難した。
・The UK and nine international allies call out Russian military actors for computer network operations for espionage, sabotage and reputational harm purposes ・英国および9か国の同盟国は、スパイ活動、妨害工作、風評被害を目的としたコンピューターネットワーク作戦に関与したロシア軍の行為を非難
・GRU Unit 29155 has expanded its tradecraft to include offensive cyber operations and deployed Whispergate malware against Ukrainian victim organisations ・GRUの29155部隊は、攻撃的なサイバー作戦を含む技術を拡大し、ウクライナの被害組織に対してWhispergateマルウェアを展開した 被害組織に対して
・UK organisations encouraged to follow advice to help defend against online threats ・英国の組織に対しては、オンライン上の脅威に対する防御策として助言に従うよう促した
The UK and international allies have today (Thursday 5 September ) exposed a unit of Russia’s military intelligence service for a campaign of malicious cyber activity targeting government and critical infrastructure organisations around the world. 英国および国際的な同盟国は本日(9月5日木曜日)、世界中の政府および重要インフラ組織を標的とした悪意あるサイバー活動キャンペーンに関与したロシア軍情報部の部隊を暴露した。
In a new joint advisory, the National Cyber Security Centre (NCSC) – a part of GCHQ – and agencies in the United States, the Netherlands, Czech Republic, Germany, Estonia, Latvia, Canada, Australia and Ukraine have revealed the tactics and techniques used by Unit 29155 of the Russian GRU to carry out cyber operations globally. 英国政府通信本部(GCHQ)の一部である国家サイバーセキュリティセンター(NCSC)と、米国、オランダ、チェコ共和国、ドイツ、エストニア、ラトビア、カナダ、オーストラリア、ウクライナの各機関は、新たな共同勧告の中で、ロシア軍参謀本部第29155部隊が世界規模でサイバー作戦を遂行するために用いた戦術と技術を明らかにした。
Unit 29155 is assessed to have targeted organisations to collect information for espionage purposes, caused reputational harm by the theft and leaking of sensitive information, defaced victim websites and undertaken systematic sabotage caused by the destruction of data. Unit 29155は、スパイ目的で情報を収集するために組織を標的にし、機密情報の盗難と漏洩により評判に傷をつけ、被害者のウェブサイトを改ざんし、データの破壊による組織的な妨害工作を行っていると評価されている。
It is the first time the UK has publicly exposed Unit 29155, also designated as 161st Specialist Training Centre, as being responsible for carrying out malicious cyber activity, which it has undertaken since at least 2020. 英国が29155部隊を公に暴露するのは今回が初めてであり、この部隊は161特殊訓練センターとも呼ばれ、少なくとも2020年から継続して悪意のあるサイバー活動を実行してきた責任がある。
Since 2022, the group’s overall aim seems to have been to target and disrupt efforts to provide aid to Ukraine. Today, the UK and allies can confirm that it was Unit 29155 specifically that was responsible for deploying the Whispergate malware against multiple victims across Ukraine prior to Russia’s invasion in 2022. 2022年以降、このグループの全体的な目的は、ウクライナへの支援提供を標的にして妨害することだったようだ。現在、英国およびその同盟国は、2022年のロシアの侵攻に先立ち、ウクライナの複数の被害者にWhispergateマルウェアを展開したのが、特にUnit 29155であったことを確認している。
To prevent these malicious activities impacting UK organisations, the NCSC strongly advises network defenders to follow the recommended actions set out in the advisory to bolster their cyber resilience. 英国の組織がこうした悪質な活動の影響を受けないよう、NCSCはネットワークの防御者に対し、勧告に記載された推奨措置に従い、サイバーレジリエンスを強化するよう強く勧告している。
Paul Chichester, NCSC Director of Operations, said: NCSCのポール・チチェスター運用部長は、次のように述べた。
“The exposure of Unit 29155 as a capable cyber actor illustrates the importance that Russian military intelligence places on using cyberspace to pursue its illegal war in Ukraine and other state priorities. 「Unit 29155が有能なサイバー活動家であることが明らかになったことは、ロシア軍事情報部がウクライナにおける違法な戦争やその他の国家優先事項を追求するためにサイバー空間を利用することに重点を置いていることを示している。
“The UK, alongside our partners, is committed to calling out Russian malicious cyber activity and will continue to do so. 「英国はパートナー諸国とともに、ロシアの悪意あるサイバー活動を告発することに尽力しており、今後もその姿勢を継続する。
“The NCSC strongly encourages organisations to follow the mitigation advice and guidance included in the advisory to help defend their networks.” 「NCSCは、ネットワーク防御の一環として、勧告に含まれる緩和策のアドバイスやガイダンスに従うよう、組織に強く推奨する」
The advisory says the Unit, which is assessed to be made up of junior active-duty GRU officers, also relies on non-GRU actors, including known cyber criminals and enablers to conduct their operations. The group differs to more established GRU-related cyber groups Unit 26165 (Fancy Bear) and Unit 74455 (Sandworm). この勧告によると、この部隊はGRUの現役下級将校で構成されていると評価されているが、その活動には、既知のサイバー犯罪者や支援者など、GRU以外の関係者も関与している。このグループは、より確立されたGRU関連のサイバーグループであるUnit 26165(別名Fancy Bear)やUnit 74455(別名Sandworm)とは異なる。
The NCSC has previously exposed details about malware operations used by cyber actors from Russia’s military intelligence to target the Ukrainian military and also called for organisations to take action following Russia’s attack on Ukraine. NCSCは以前にも、ロシア軍情報機関のサイバーアクターがウクライナ軍を標的に使用したマルウェア作戦の詳細を公表し、また、ロシアによるウクライナ攻撃を受けて、組織が対策を取るよう呼びかけていた。
In May 2022, the UK and allies attributed the use of Whispergate malware in Ukraine to Russia’s military intelligence service but this new advisory goes further by attributing its deployment specifically to Unit 29155. 2022年5月、英国およびその同盟国は、ウクライナにおけるWhispergateマルウェアの使用をロシアの軍事情報機関によるものと断定したが、今回の新たな勧告では、その展開を具体的にUnit 29155に帰属させている。
The advisory also includes further analysis of the malware that was deployed to help network defenders identify malicious infrastructure. また、この勧告には、ネットワーク防御者が悪意のあるインフラを特定するのに役立つよう展開されたマルウェアのさらなる分析も含まれている。
The advisory has been co-sealed by the National Cyber Security Centre, the US Cybersecurity and Infrastructure Security Agency (CISA), the Federal Bureau of Investigation (FBI), the US National Security Agency (NSA), the US Department of the Treasury, the US Department of State (Rewards for Justice), the US Cyber Command Cyber National Mission Force (CNMF), the Netherlands Defence Intelligence and Security Service (MIVD), the Czech Military Intelligence (VZ), the Czech Republic Security Information Service (BIS), the German Federal Office for the Protection of the Constitution (BfV), the Estonian Internal Security Service (KAPO), the Latvian State Security Service (VDD), the Canadian Security Intelligence Service (CSIS), the Communications Security Establishment Canada (CSE) and the Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC). この勧告は、英国の国家サイバーセキュリティセンター、米国のサイバーセキュリティ・インフラ保護機関(CISA)、連邦捜査局(FBI)、米国国家安全保障局(NSA)、米国財務省、米国国務省(司法のための報奨)、米国サイバー軍サイバー国家任務部隊(CNMF)、オランダ国防情報局(MIVD)、チェコ軍 情報局(VZ)、チェコ共和国安全保障情報局(BIS)、ドイツ連邦憲法擁護庁(BfV)、エストニア国内安全保障局(KAPO)、ラトビア国家保安庁(VDD)、カナダ安全保障情報局(CSIS)、カナダ通信安全保障局(CSE)、オーストラリア信号局オーストラリアサイバーセキュリティセンター(ASD's ACSC)。
The advisory can be read on the CISA website. この勧告は、CISAのウェブサイトで閲覧できる。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.08.29 OXFORD JOURNAL of Cybersecurity 戦争においてサイバー作戦の有用性は限界的

・2024.08.09 米国 国防大学出版局 統合軍クオータリー 「認知戦」

・2024.06.25 Microsoft ロシアはいかにして2024年パリ五輪を妨害しようとしているのか (2024.06.06)

・2024.06.20 米国 サイバーセキュリティ・インフラセキュリティ庁(CISA)と米国選挙支援委員会(EAC)が選挙セキュリティについてのガイドを発表 (2024.06.17)

・2024.05.06 米国 英国 カナダ 親ロシア派ハクティビストによる北米および欧州のOT機器に対する継続的な悪意あるサイバー活動に対するセキュリティ対策

・2024.04.03 マイクロソフトロシアの国家支援行為者であるMidnight Blizzardによるシステムへの侵入に対するSECの開示事例 (2024.01.19, 2024.03.08)

・2024.03.01 米国 英国 オーストラリア カナダ ニュージーランド、ベルギー、ブラジル、フランス、ドイツ、ラトビア、リトアニア、ノルウェー、ポーランド、韓国がロシアや脆弱性についてのいくつかのアラートを出していますね。。。

・2024.02.29 Five eyes ロシア対外情報庁による攻撃手法。時代はクラウドですからね...

・2023.09.25 ロシア 科学技術センター デジタル外交2023:課題と発展動向

・2023.09.01 Five Eyes Android 端末を標的とするInfamous Chisel マルウェアを利用するロシアの脅威行為者に関する報告書

・2023.08.19 ロシア 科学技術センター :新たなサイバーセキュリティの脅威

・2023.08.11 ロシア 情報セキュリティセンターの設立に約33億ルーブル(約50億円)の予算をつける

・2023.05.20 米国 司法省 LockBit、Babuk、Hiveに関わったロシア人を起訴

・2023.05.17 米国 CISA ブログ コロニアルパイプラインへの攻撃:この2年間で私たちが学んだこと、私たちがやってきたこと (2023.05.07)

・2023.05.12 Five Eyes ロシア連邦保安庁が管理するマルウェアネットワーク「Snake」を破壊

・2023.05.10 ロシア 科学技術センター 大規模言語モデル:認知的な視点

・2023.03.07 ロシア 科学技術センター 認知作戦・心理作戦の理論的・概念的側面

・2023.02.11 米国 英国 ロシアを拠点とするサイバー犯罪組織「Trickbot」のメンバーに制裁を科す

・2022.07.21 カナダ サイバーセキュリティセンター 「サイバー脅威報告:ロシアのウクライナ侵攻に関連するサイバー脅威活動」 (2022.07.14)

・2022.07.18 ロシア 通信・IT・マスメディア監督連邦サービス (Roskomnadzor) が、Google、Apple、Pinterest等の外資企業が、ロシア人利用者のデータベースのローカ保管を確認していないと発表していますね。。。

・2022.06.21 米国 司法省 国際的なサイバー作戦によるロシアのボットネットの破壊

・2022.04.11 米国 司法省 ロシア連邦軍参謀本部情報総局(GRU)が管理するボットネットを裁判所の認可に基づき破壊(2022.04.06)

・2022.04.01 ロシア 外務省 米国とその衛星国による継続的なロシアへのサイバー攻撃についての声明

・2022.03.30 ロシア・ウクライナ紛争に伴うサイバーセキュリティの警告(オーストラリア、英国の場合)

・2022.03.18 米国 CISA FBIがロシアの国家的サイバーアクターによるデフォルトの多要素認証プロトコルと「printnightmare」脆弱性の悪用による脅威の軽減

・2022.03.05 フランス CERT-FRがロシアのウクライナ侵攻に関連した脅威・インシデントレポートを公表していますね。。。

・2022.03.03 米国 司法省 タスクフォース KleptoCapture (ロシアの資金源を断つ?)

・2022.02.22 米国 CISA Alert (AA22-047A) ロシアの国家支援を受けたサイバーアクターが、機密性の高い米国の防衛情報および技術を入手するために、許可を受けた防衛請負業者のネットワークを標的にしている (2022.02.16)

・2022.02.11 防衛省 防衛研究所 ウクライナをめぐるロシアの強要戦術

・2022.02.11 欧州議会 Think Tank 米国とロシアの関係:地政学的側面、安全保障的側面、経済的側面、人的側面

・2022.01.18 ウクライナ ロシアからと考えられるサイバー攻撃の影響はほぼ回復した?

・2022.01.17 米国 GAO サイバーセキュリティ:SolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応

・2022.01.16 金銭目的のサイバー攻撃については全ての国が協力できる(コロニアルパイプラインを攻撃した疑いのあるハッカーを米国の要請によりロシアが逮捕)

・2021.12.15 ロシアとインドネシアが国際的な情報セキュリティの協力に関する政府間協定に署名

・2021.12.08 ロシア ドミトリー・チェルニーシェンコ副首相による第16回国連インターネット・ガバナンス・フォーラムでの国際的な法律の調和とIT分野での協力についての講演

・2021.12.07 2021.12.09,10開催予定 Summit for Democracy 民主主義サミット + 中国的民主主義 + ロシアの批判 + EUの参加報告書+米国政府まとめ

・2021.11.24 ロシア ロシア国内に事務所を開設しなければならないインターネット企業13社を公表

・2021.11.13 米国 財務省 政府一体となったランサムウェア対策によりランサムウェア実行者と仮想通貨取引所に制裁を科す

・2021.11.12 Interpol 最近のサイバー関係の発表(7つ)

・2021.08.05 米国連邦議会上院 国土安全保障・政府問題委員会 「アメリカのデータは危険にさらされている」

・2021.07.13 RuNetの再評価:ロシアのインターネット孤立化とロシアのサイバー行動への影響

・2021.07.12 NATO関連機関が分析したサイバー空間におけるロシアの戦略 at 2021.06.11

・2021.07.04 ロシア連邦大統領令第400号「ロシア連邦の国家安全保障戦略」を公表

・2021.04.22 U.S. White House 副国家安全保障補佐官(サイバー・新技術担当)によるSolarWindsとMicrosoft Exchangeのインシデントに関する声明

・2021.04.22 米国によるロシア制裁後のロシア連邦安全保障会議書記と米国大統領補佐官(国家安全保障担当)との電話会談

・2021.04.16 White HouseはSolarWindsの不正アクセスに関連する行動がロシアによるものと正式に認め制裁を課す大統領令を発出していますね。。。 U.S. サイバー司令部と国土安全保障省-CISAはSolarWindsの不正アクセスに関連するロシア製マルウェアのサンプルを公開

・2020.11.16 ロシアと北朝鮮のハッカーがCOVID 19のワク​​チン研究者からデータを盗もうとしている by Microsoft

・2020.10.27 欧州連合 連合と加盟国を脅かすサイバー攻撃に対する制限的措置に関する決定(CFSP)2019/797の修正(ロシアの件。。。)

・2020.10.27 米国 連邦司法省がサイバースペースでの破壊的行為を世界的に行ったことでロシアのGRUの6人を起訴した (2020.10.19)

・2020.10.27 英国NCSC 東京オリンピック関係者にサイバー攻撃をしていたとしてロシアを非難 (2020.10.19)

・2020.10.14 ノルウェー政府は8月のノルウェー議会の電子メールシステムへのサイバー攻撃はロシアによるものだとする声明を出していますね。。。

・2020.08.22 米国上院の情報委員会が2016年大統領選におけるロシアの影響を調べた報告書(第5巻)を公開していますね。。。

・2020.07.17 英国政府はロシアが2019年の総選挙に違法に取得した政府文書を通じて妨害しようとしたと結論付けた

・2020.06.03 米国 国家安全保障局 (NSA) がEximの脆弱性を悪用するロシアのAPTグループ「Sandworm」に関する警告を公表

・2020.03.26 FBI - FBI Takes Down a Russian-Based Hacker Platform; Arrests Suspected Russian Site Administrator

・2020.04.08 削除できないマルウェア xHelper の仕組みがわかった?

・2020.01.25 通信関連会社元社員 機密情報不正取得で逮捕 ロシアに提供か」

 

|

« 個人情報保護委員会 いわゆる3年ごと見直しに係る検討関係(第299回委員会、第2回検討会) | Main | 米国 NSA "No Such Agency"による"No Such Podcast" が2024.09.05から始まりました(毎週 6回シリーズ) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 個人情報保護委員会 いわゆる3年ごと見直しに係る検討関係(第299回委員会、第2回検討会) | Main | 米国 NSA "No Such Agency"による"No Such Podcast" が2024.09.05から始まりました(毎週 6回シリーズ) »