Google の脅威分析グループ( TAG )は、ロシア情報機関と関連のあるハッキンググループ APT29 によって行われたとされる一連の高度なサイバー攻撃を発見しました。これらの攻撃では、論争の的となっているスパイウェアベンダー NSO Group と Intellexa が開発したものと驚くほど類似した攻撃手法が使用されました。
 |
|---|
| サイバー脅威の世界に没頭する影のような人物が、国家支援のサイバー攻撃に関連する現代のハッキンググループの洗練さを反映しています |
モンゴル政府サイトを標的とした水飲み場型攻撃
2023年11月から2024年7月にかけて、ハッカーはモンゴル政府のウェブサイトを侵害し、水飲み場型攻撃を行いました。この手法は、特定のターゲットグループが頻繁に訪れる正規のウェブサイトに感染させ、そのサイトを訪れた脆弱なデバイスを潜在的に侵害する可能性があります。
商用スパイウェアの攻撃手法を転用
攻撃者は、 NSO Group と Intellexa が以前使用したものと同一または非常に類似した攻撃手法を採用しました:
- Intellexa の2023年9月のゼロデイ攻撃と一致する iOS/Safari の攻撃手法
- 2024年5月の NSO Group のツールから改変された Chrome の攻撃手法
- Intellexa の2021年9月の製品に似た別の攻撃手法
これらの攻撃手法は、主にパッチが適用された脆弱性を標的としていましたが、パッチが適用されていないデバイスに対しては依然として有効でした。
サイバーセキュリティ環境への影響
このキャンペーンは、いくつかの懸念すべき傾向を浮き彫りにしています:
- 商用スパイウェアベンダーから国家支援の脅威アクターへの強力なハッキングツールの拡散
- 特にモバイルデバイスに対する水飲み場型攻撃の継続的な有効性
- 迅速なパッチ適用とソフトウェアアップデートの重要性
Google の研究者は、 APT29 がこれらの攻撃手法をどのように入手したかは不明であり、購入、盗難、またはリバースエンジニアリングの可能性を示唆しています。
業界の反応
NSO Group は、ロシアに製品を販売したことを否定し、彼らの技術は米国とイスラエルの同盟国の情報機関および法執行機関にのみ販売されていると述べています。
この事件は、商用スパイウェア開発者、国家支援のハッキンググループ、そしてグローバルなサイバーセキュリティエコシステムの間の複雑な相互作用を浮き彫りにしています。また、すべてのセクターにおいて堅固なセキュリティ対策とタイムリーなソフトウェアアップデートの必要性を強く喚起しています。