本文の内容は、2022年11月30日に Michael Clarkが投稿したブログ(https://sysdig.com/blog/global-conflicts-cyber-attack-behaviors/)を元に日本語に翻訳・再構成した内容となっております。
ロシアとウクライナの紛争には、政府支援の脅威行為者と民間のハクティビストが味方をするサイバー戦争的な要素が含まれています。
ITインフラストラクチャーとユーティリティを混乱させるという目標により、4Q21と1Q22の間にDDoS攻撃が4倍に増加しました。Docker Hubのコンテナイメージを利用した反ロシアのDDoSキャンペーンには、15万人以上のボランティアが参加しています。脅威の主体は、敵対勢力に同調していると認識した人物を攻撃し、安全でないインフラストラクチャーは、攻撃を拡大する際のレバレッジとしてターゲットにされます。
Sysdig TRTは、クラウドやコンテナ型ワークロードに対する攻撃の主な動機は金銭的な利益であることがほとんどであることを発見しました。しかし、諜報活動や政治的・軍事的な目的といった動機も存在します。
金銭的な利益という点では、クリプトマイニングが最も一般的なアプローチであり、分散型サービス拒否(DDoS)がそれに続いています。クリプトマイニングは、侵害された資産を容易に利益に変えることができ、攻撃者のリスクも比較的低いため、これほど人気があるのは容易に理解できます。TeamTNTのアドバイザリーのような敵対者に見られるように、攻撃を実行するためのインフラストラクチャーを確立し、クリプトマイニングのオペレーションをセットアップするために、攻撃者が負担するコストは比較的少なくて済みます。一方、攻撃を受けた被害者は、盗まれたインフラストラクチャーの費用で数十万ドルを失うことになるかもしれません。
この記事は、2022版クラウドネイティブな脅威に関するレポートの一部です。
ロシア – ウクライナ紛争
ロシア-ウクライナ戦争は2014年に始まりましたが、2022年2月24日のロシアの武力侵攻で大幅にエスカレートしました。さまざまなハクティビストやサイバー犯罪組織が、すぐにさまざまな紛争参加者と連携するようになりました。例えば、アノニマスはウクライナ支持を表明し、キルネットはロシアを支持しました。また、ウクライナ政府は、ターゲット情報を提供するために、テレグラムチャンネルを通じて同盟国のサイバーグループとのコミュニケーションを促進しました。
増加するDDoS攻撃
2022年1月から7月にかけて、Sysdig TRTグローバルハニーネットシステムは、複数の攻撃ベクトルによる多数の侵入をキャプチャーしました。侵入された攻撃は、利用されたマルウェアの種類、指摘されたTTP、その他のコンテキストに基づいて、DDoS、Cryptomining、またはその他に分類されます。DDoSエージェントは、しばしばボットネットに追加され、攻撃者はDDoS-as-a-Serviceの運用でこれを使用します。攻撃者は、ボットネットを他者に貸し出すことで、収益を上げることができます。リバースシェルなど、他のタイプのマルウェアは、この比較のために捨象されました。2021年第4四半期と2022年第1四半期の攻撃タイプを比較すると、クリプトマイニングからDDoS活動へと明らかにシフトしていることが分かります。
Sysdig TRTのデータでは、紛争が激化した時期に、ハニーネット全体にインストールされるDDoSマルウェアの量が全体的に大きく増加したことも確認されました。
特定の政治的イベントに対応したDDoSキャンペーンを成功させるためには、サイバー犯罪者グループは、ボットネットのインフラクチャーを迅速にスケールアップする必要があります。ボットネットの最も一般的な使用方法は、攻撃の間、ウェブサイトをダウンさせることです。こうしたDDoS攻撃は、標的となるものや攻撃者の目的に応じて、市民的、社会的、経済的な損害をもたらす可能性があります。
例えば、紛争当初、親ロシア派のDDoS攻撃は、ウクライナの金融機関へのアクセスを妨害することができました。
DDoSマルウェアのインストールクラウドホスティングサイトが標的に
親ロシア派のハッカー集団の1つであるKillnetは、NATO諸国に対して数多くのDDoS攻撃を仕掛けました。これには、イタリア、ポーランド、エストニア、ウクライナ、米国のWebサイトが含まれますが、これらに限定されるものではありません。現在、多くのサイトがクラウド上でホストされているため、DDoS防御はより一般的になっていますが、まだ遍在しているわけではなく、熟練した敵によって回避されることもあります。これらの攻撃におけるKillnetの調整の多くは、メッセージングサービスであるTelegramを介して行われました。チャンネルのメンバーには、攻撃を実行するためのスクリプトとターゲットのリストが提供されました。Killnetの攻撃では、従来のSYN-Flood(TCP SYNパケットを大量に送信し、ターゲットマシンが接続を開こうとしてリソースを浪費する)を含む、さまざまなDDoS手法が使用されました。しかし、この方法はCSPによってうまく緩和されることが多いのです。また、DDoS-as-a-Serviceと呼ばれるIP Stressingサービスも利用されました。これらの攻撃は高度なものではありませんでしたが、イタリア政府や米国議会が所有するサイトに障害を引き起こすことに成功しました。
Killnetは、CSPの保護を回避するために、アプリケーションを直接標的とするレイヤー7攻撃も行いました。例えば、ウェブサーバーに大量の正規リクエストを送信すると、アプリケーションがリソースを使い果たすため、サービス停止に至ることがあります。送信されるデータはランダムで異なるソースから発信されるため、WAFのような一般的なミティゲーションコントロールでは攻撃を防御することが困難です。
この種の活動への対策としては、十分な帯域幅の確保、攻撃を受けるシステムでの豊富なリソースの作成、サイトに到達する前にトラフィックをドロップ、WAFを変更して可能な限り攻撃を処理するなど、防御策を組み合わせることが最適といえます。
悪意のあるコンテナイメージによるハクティビスト支援
この紛争では、コンテナのような新しい技術が、攻撃に素早く参加するクラウドソーシングとして利用されました。コンテナイメージには、攻撃者が悪意のあるキャンペーンに参加するために必要なツールがすべてセットアップされており、予備知識をほとんど必要とせず、数分で参加できます。ハクティビスト運動では、大衆の連携が重要です。DDoSソフトウェアがプリロードされたコンテナを使用すれば、ハクティビストのリーダーは、簡単にボランティアを迅速に活動させることができます。Sysdig TRTは、Docker Hubから収集した何十万ものイメージからデータを分析し、ロシアとウクライナの紛争に関連付けられる属性とIoCを探しました。
両派は、これらのコンテナイメージのデプロイに異なる方法とアプローチを使っています。ロシアはできるだけ多くの情報を秘匿し、ウクライナとその同盟国は情報を公に共有することでより多くの人々に情報を届け、その能力を高めようとしているのです。
“15万人以上のボランティアがDocker Hubのコンテナイメージを使って反ロシアのDDoSキャンペーンに参加しています。”
次の表は、ロシアとベラルーシのウェブサイトに対するDDoS攻撃を実行するために使用された、最もダウンロードされたDocker Hubのイメージです。
abagayev/stop-russiaは、bombardierと呼ばれるHTTPベンチマークツールを使用して、ターゲットに対して高負荷のHTTPリクエストを生成しています。デフォルトでは、このツールにターゲットのリストを提供するイメージです。
erikmnkl/stoppropagandaは、そのGithubリポジトリに示されているように、使用方法についてさまざまなオプションを提供しています。また、KubernetesやAndroid上でも実行可能です。対象サイトの一次ソースとして、”IT ARMY of Ukraine” のテレグラムチャンネルを使用することを推奨しているそうです。
さらに、その他にも戦争に関連するイメージが発見されました。具体的には、以下のイメージがそれぞれ、ウクライナ保安局の指名手配者リストのスクレイピングに使用されています。
一時的に地政学的な動機が変化したとはいえ、Sysdig TRTが観測する攻撃者の主要かつ永続的な目標は、依然として金銭的な利益です。クリプトジャッキングには明確な利点があるため、この傾向はすぐに変わることはないでしょう。クリプトジャッキングは、クラウドの拡張性により、非常に有利であり、脅威を与える側のリスクも非常に低いのです。
まとめ
2022年は世界中で大きな出来事があり、特にロシアとウクライナの間の紛争がありました。この戦争は物理的な領域にとどまらず、重要なサイバー戦争に関与していました。政府と軍隊の両方がこれらの作戦の実施に大きく関与しましたが、世界中の一般市民も同様に参加しました。愛国心であれ、政治的に味方である側を応援したいという気持ちであれ、あるいは大規模で公然のイベントの中で役割を果たしたいという気持ちであれ、相当数の人が貢献しようとした。その一例として、ハニーポットにインストールされたクリプトマイニングマルウェアから、相手側のウェブインフラストラクチャーを攻撃するためのDDoSエージェントへの移行が挙げられます。
時が経つにつれ、最初の熱狂が収まるにつれ、この傾向は逆転しているように思われます。
もっと詳しく知りたいですか?2022版クラウドネイティブな脅威に関するレポートをダウンロードする。