スパイダーハッカーグループ、洗練され、組織され、規律ある作業
ジャカルタ-昨年、米国のセキュリティ会社であるPalo大地Networksは、多くの企業がコンピューターハッカーによって珍しい方法で侵害されたと聞き始めました。
本物の英語を話すハッカーは、ターゲット会社の情報技術支援センターに連絡し、従業員になりすまし、アクセスを失ったふりをしてログインの詳細を検索します。
彼らは説得力のある聞こえに必要なすべての従業員情報を持っています。アクセスができたら、同社で最も機密性の高いリポジトリに入り、身代金のためにデータを盗む方法をすばやく見つけるでしょう。
「ランサムウェア攻撃は新しいものではありませんが、このグループはソーシャルテクニックに非常に熟練しており、多要素認証をバイパスしています」と、セキュリティ会社Paloult Networksのユニット42脅威インテリジェンスチームのシニアバイスプレジデントであるWendi Whitmoreは、グループに関連するいくつかの攻撃に対応しています。
「彼らは他の多くのサイバー犯罪者よりもはるかに洗練されています。彼らは攻撃において規律正しく組織化されているように見えます」と彼は言いました。「そして、これは、サイバー犯罪者と比較して、通常、国家主体と見なされるものです。」
セキュリティ業界でスキャッタードスパイダー、マッドレッドリブラ、UNC3944などのさまざまな名前で知られているこのハッカーは、MGMリゾーツやシーザーズエンターテインメントなどの大企業のデータを盗んだと伝えられています。
舞台裏では、これらの侵入を追跡するアナリストによると、他の多くの企業も攻撃の犠牲になっています。当局は、これらの攻撃が続くことを警戒しています。
FBIはMGMとシーザーズのハッキングを調査しており、両社は攻撃の背後にいた加害者が誰であるかについてコメントしていない。
カナダから日本まで、セキュリティ会社のCrowdStrikeは、2022年3月以来、主に米国で、グループによる世界中で52件の攻撃を追跡しました。Googleの諜報機関であるMandiantは、過去2年間でグループによる100件以上の侵入を記録しました。
電気通信から金融、ホスピタリティ、メディアに至るまで、ほぼすべての業界が犠牲になっています。ロイターは、ハッカーが身代金を通じてどれだけのお金を稼いだかを判断することさえできませんでした。
ただし、このグループを区別するのは、攻撃の規模や範囲だけではありません。「彼らは自分の仕事に非常に熟練しており、被害者とのやりとりにおいて非常に「残酷」です」とマンディアントの創設者であるケビン・マンディアは言いました。
エンタープライズシステムからデータに侵入して取得するスピードは、セキュリティ対応チームを停止し、被害者の組織スタッフに脅威メモをシステムに残したり、テキストメッセージや電子メールで連絡したりすることもできます。
場合によっては、スキャッタースパイダーに関連するハッカーが、標的企業の幹部の家に武装した警察部隊を呼ぶように偽の電話をかけました。
「SWATingと呼ばれるこの技術は、被害者として扱われる場合、非常にひどいものです」とマンディアは言いました。「この侵入はお金だけだとは思わない。それは力、影響力、名声についてだと思います。これにより、対応が難しくなります。
スキャッテルスパイダーの場所や身元に関する詳細は入手できません。ハッカーと被害者との会話と侵入調査から得られた手がかりに基づいて、CrowdStrikeのAdam Meyersは、彼らがほとんど17〜22歳であると述べました。
マンディアントは、彼らは主に西側諸国から来たと推定しているが、何人の人々が関与しているかは明らかではない。
ヘルプセンターに連絡する前に、ハッカーはパスワードを含む従業員の情報をソーシャルテクニック、特に「SIMスワッピング」(通信会社のカスタマーサービス担当者をだまして、特定の電話番号をあるデバイスから別のデバイスに切り替えるテクニック)で収集したとアナリストは述べています。
アナリストによると、彼らはまた、ベンダーや請負業者を含む大規模な組織が、彼らがターゲットにできる特権的なアクセスの個人を見つけるためにどのように機能するかを理解しようとしているようです。
これは、先月、スキャッテッドスパイダーに侵入したMGMを含むいくつかのオクタの顧客を見つけたとき、アイデンティティ管理会社オクタの最高セキュリティ責任者であるDavid Bradburyが直接見たものです。Oktaは、ユーザーがアプリやWebサイトに安全にアクセスするのに役立つ多要素認証などのIDサービスを提供しています。
「脅威アクターは明らかに私たちがオンラインで提供するコースを受講しており、私たちの製品とそれがどのように機能するかを明確に学んでいます」とブラッドベリーは言いました。「これは私たちが今まで見たことのないことです。
ALPHVとして知られるより大きなグループは先週、MGMハッキングの背後にいると主張し、アナリストはScattered Spiderが実行するためのソフトウェアと攻撃ツールを提供していると考えています。
「この種のコラボレーションはサイバー犯罪者にとって一般的です」とオクタのブラッドベリーは言いました。Mandiantが「サービスとしてのランサムウェア」であると言っているALPHVは、ヘルプセンター、Webページ、ブランドなどのサービスを提供し、代わりにScattered spamがハッキングから取得するものの一部を取得します。
多くのランサムウェア攻撃は一般には知られていませんが、MGMハッキングはこの種の攻撃の現実世界の影響の明確な例です。これはラスベガスで混乱を引き起こし、ギャンブルマシンとホテルシステムが混乱しました。
ランサムウェアハッカーグループは、多くの場合、大規模な組織のように活動し、組織が使用する最新のセキュリティ対策に適応する方法を開発し続けています。
「ある意味で、それは古代の猫やネズミのゲームのようなものです」とホワイトモアは言い、スキャッテルドスパイダーを、かつてオクタとハッキングされた別のグループであるLapsus$と、ハッキングされたテクノロジー大手マイクロソフトを比較しました。英国警察は昨年、ハッキングの16歳から21歳までの7人を逮捕した。