恒久不変な日本砂漠-46 本当に地球上の人間社会は「ワンチーム」なのか?
For the dictatorship nations that are hated by the world, cyber attacks that could get money from outside the circle must be only gifts from the devil(世界から毛嫌いされる独裁専制国家どもにとって、輪の外から金を手に入られるサイバー・アタックは、悪魔からの贈り物でしかない)!
■893国家中国を甘やかし寛大極まりない関与策を取り続け、木のテッペンにまで登らせてしまったUSA民主党の世紀の不作為
●日本は、歴史的にありとあらゆる影響を中国から受けてきたが、ただの一度も中国と真っ向から対峙したことはなかったのでは?
○日本は、この経済成長など見込めない時代だからこそ、中国の本当の顔を真摯に直視すべきとき
東仙坊、世界を席巻していると思い込んでいたロシア政府公認のハッカー集団「APT28」が、そして、同じく「コージー・ベア」などと世界に名を売るロシア政府公認サイバー攻撃集団「APT29」が、今後、あからさまにそのサイバー・アタック・パワーを衰退させるに違いないと、前回、書き込んだ。
とりわけ、2014年、最初に国際的に存在を認知された不可解なハッカー・マフィア集団「APT29」は、「FSB」と「SVR」で、ハイレベルな特殊訓練を受け、「KGB」が母体のためにUSSR解体後に異なった組織になっても連携可能な、エキスパートばかり。
そして、ほとんどの政府公認ハッカーどもは、小さな攻撃対象に対し集中的にアタックするのが常道なのに対し、コヤツらは、何千ものフィッシングメールを幅広いターゲットに送信する方法を好むところが、特徴。
それから、ツールセットを頻繁に変更し、オペレーティングシステムの最新コンポーネントを使用し、攻撃対象のウィルス対策ソフトやセキュリティツールを巧妙にすり抜けるとか。
そして、侵入先ネットワークにおける活動を巧妙に隠蔽し、頻繁ではないものの、正規のトラフィックに見せかけた通信を実行したり、一般的かつポピュラーな正規インターネットサービスを利用し接続もSSLで暗号化したりするので、検知するのは困難とも。
また、新しいバックドアを用いて自らバグの修正や機能の追加を行ったり、ネットワーク・セキュリティ担当者の行動を監視したり、システムへのアクセスを維持することもできるスグレモノとか。
さらに、C&Cサーバーとの通信には感染サーバーのみを使用し、攻撃からの復旧を妨害するほか、マルウェアの作成も短期間でこなし、検知を回避するためのツールも素早く頻繁に変更し、さまざまな捕獲を逃れるための対策を取っているとか。
ちなみに、「APT29」に関連するマルウェアには、「HAMMERTOSS」、「TDISCOVER」、「UPLOADER」、「PinchDuke」、「OnionDuke」、「Seaduke(SEADADDY)」、「PowerDuke」、「POSHSPY」、「Miniduke(Cosmicduke, Tinybaron)」、「CloudDuke」、「GeminiDuke」、「Mimikatz」、「CozyDuke」、「Cobalt Strike Beacon」などがあるとか。
そして、2020年、コロナウィルス関係の情報を盗むためのサイバー・アタックを展開した際には、「WellMess」や「WellMail」と呼ばれる「カスタムマルウェア」が使用されたとか。
実際、2020年12月末時点で、「USAへの大量のサイバーアタックは、『APT29』の手法に類似している」と「ファイア・アイ」ケビン・マンディアCEOが断言していたとか。
また、「Twitter」や「GitHub」などのソーシャル・メディア・サイトやクラウド・ストレージ・サービスを利用し、コマンドを段階的に送信し、侵入先ネットワークからデータを抽出する手法を用いるとも。
さらに、暗号化されたデータが埋め込まれた画像を介してコマンドを送信し、侵入先ネットワークからのデータ窃取が完了すると、ファイルがクラウド・ストレージ・サービスにアップロードされるという仕組み(ファイア・アイウェブサイト/Recorded Future)でハッキングしているとか。
では、「APT28」と「APT29」との相違は、入手した情報の扱い方だとか。
「APT29」は、クレムリンの政策立案者に役立つ情報を収集するが、それをバラ撒くことは基本的にせず、情報を外に流す際にもダークウェブや秘匿性の高い限定的な手段で実施するとか。
一方、「APT28」は、ハッキングして情報を盗み出すだけでなく、それをかなり広い対象に公開することが多いとか。
そのために、USA大統領選挙など対外的に暗躍してきたが、この「APT28」で、これまで数多くの刑事告発を受けているとも。
もっとも、「APT29」に対する刑事告発は、現時点では確認できていないとか。
ところで、ロシアのサイバー攻撃集団は、「APT28」や「APT29」だけではない。
「ベア(bear : 熊)」の総称でも呼ばれるロシア系ハッカーグループは、無数に存在。
ロシア政府系「ブードゥー・ベア」は、「BlackEnergy APT Group」とも呼ばれ、少なくとも2011年以降、マルウェア「BlackEnergy」のバージョン2および3を活用し、エネルギー、産業用制御システム「SCADA」、政府、メディアに関連するターゲットに対し、スパイ活動および破壊行動を実行してきているとか。
そして、「ブードゥー・ベア」は、特にウクライナをターゲットとし、スパイ活動と破壊的妨害活動のためにエネルギーと重要インフラストラクチャに関連するターゲットを狙う傾向が強いとか。
また、ウクライナ以外に旧USSR諸国もターゲットとし、現在のロシア政府の外交ストラテジーである旧USSR地域を影響圏におきつづけるという最重要目標のために大いに貢献しているとか。
その手法は、マルウェアの効果的利用が特徴で、特に「BlackEnergy」と「GCAT」を好み、「PassKillDisk」と呼ばれるものも使用しているとか。
To be honest, I am surprised that Russia's IT technology capabilities as a nation must be so low(ロシアの国家としてのITテクノロジー能力が、ここまで低レベルだったとは、正直、メチャクチャ驚いている)!
To be continued...
■893国家中国を甘やかし寛大極まりない関与策を取り続け、木のテッペンにまで登らせてしまったUSA民主党の世紀の不作為
●日本は、歴史的にありとあらゆる影響を中国から受けてきたが、ただの一度も中国と真っ向から対峙したことはなかったのでは?
○日本は、この経済成長など見込めない時代だからこそ、中国の本当の顔を真摯に直視すべきとき
東仙坊、世界を席巻していると思い込んでいたロシア政府公認のハッカー集団「APT28」が、そして、同じく「コージー・ベア」などと世界に名を売るロシア政府公認サイバー攻撃集団「APT29」が、今後、あからさまにそのサイバー・アタック・パワーを衰退させるに違いないと、前回、書き込んだ。
とりわけ、2014年、最初に国際的に存在を認知された不可解なハッカー・マフィア集団「APT29」は、「FSB」と「SVR」で、ハイレベルな特殊訓練を受け、「KGB」が母体のためにUSSR解体後に異なった組織になっても連携可能な、エキスパートばかり。
そして、ほとんどの政府公認ハッカーどもは、小さな攻撃対象に対し集中的にアタックするのが常道なのに対し、コヤツらは、何千ものフィッシングメールを幅広いターゲットに送信する方法を好むところが、特徴。
それから、ツールセットを頻繁に変更し、オペレーティングシステムの最新コンポーネントを使用し、攻撃対象のウィルス対策ソフトやセキュリティツールを巧妙にすり抜けるとか。
そして、侵入先ネットワークにおける活動を巧妙に隠蔽し、頻繁ではないものの、正規のトラフィックに見せかけた通信を実行したり、一般的かつポピュラーな正規インターネットサービスを利用し接続もSSLで暗号化したりするので、検知するのは困難とも。
また、新しいバックドアを用いて自らバグの修正や機能の追加を行ったり、ネットワーク・セキュリティ担当者の行動を監視したり、システムへのアクセスを維持することもできるスグレモノとか。
さらに、C&Cサーバーとの通信には感染サーバーのみを使用し、攻撃からの復旧を妨害するほか、マルウェアの作成も短期間でこなし、検知を回避するためのツールも素早く頻繁に変更し、さまざまな捕獲を逃れるための対策を取っているとか。
ちなみに、「APT29」に関連するマルウェアには、「HAMMERTOSS」、「TDISCOVER」、「UPLOADER」、「PinchDuke」、「OnionDuke」、「Seaduke(SEADADDY)」、「PowerDuke」、「POSHSPY」、「Miniduke(Cosmicduke, Tinybaron)」、「CloudDuke」、「GeminiDuke」、「Mimikatz」、「CozyDuke」、「Cobalt Strike Beacon」などがあるとか。
そして、2020年、コロナウィルス関係の情報を盗むためのサイバー・アタックを展開した際には、「WellMess」や「WellMail」と呼ばれる「カスタムマルウェア」が使用されたとか。
実際、2020年12月末時点で、「USAへの大量のサイバーアタックは、『APT29』の手法に類似している」と「ファイア・アイ」ケビン・マンディアCEOが断言していたとか。
また、「Twitter」や「GitHub」などのソーシャル・メディア・サイトやクラウド・ストレージ・サービスを利用し、コマンドを段階的に送信し、侵入先ネットワークからデータを抽出する手法を用いるとも。
さらに、暗号化されたデータが埋め込まれた画像を介してコマンドを送信し、侵入先ネットワークからのデータ窃取が完了すると、ファイルがクラウド・ストレージ・サービスにアップロードされるという仕組み(ファイア・アイウェブサイト/Recorded Future)でハッキングしているとか。
では、「APT28」と「APT29」との相違は、入手した情報の扱い方だとか。
「APT29」は、クレムリンの政策立案者に役立つ情報を収集するが、それをバラ撒くことは基本的にせず、情報を外に流す際にもダークウェブや秘匿性の高い限定的な手段で実施するとか。
一方、「APT28」は、ハッキングして情報を盗み出すだけでなく、それをかなり広い対象に公開することが多いとか。
そのために、USA大統領選挙など対外的に暗躍してきたが、この「APT28」で、これまで数多くの刑事告発を受けているとも。
もっとも、「APT29」に対する刑事告発は、現時点では確認できていないとか。
ところで、ロシアのサイバー攻撃集団は、「APT28」や「APT29」だけではない。
「ベア(bear : 熊)」の総称でも呼ばれるロシア系ハッカーグループは、無数に存在。
ロシア政府系「ブードゥー・ベア」は、「BlackEnergy APT Group」とも呼ばれ、少なくとも2011年以降、マルウェア「BlackEnergy」のバージョン2および3を活用し、エネルギー、産業用制御システム「SCADA」、政府、メディアに関連するターゲットに対し、スパイ活動および破壊行動を実行してきているとか。
そして、「ブードゥー・ベア」は、特にウクライナをターゲットとし、スパイ活動と破壊的妨害活動のためにエネルギーと重要インフラストラクチャに関連するターゲットを狙う傾向が強いとか。
また、ウクライナ以外に旧USSR諸国もターゲットとし、現在のロシア政府の外交ストラテジーである旧USSR地域を影響圏におきつづけるという最重要目標のために大いに貢献しているとか。
その手法は、マルウェアの効果的利用が特徴で、特に「BlackEnergy」と「GCAT」を好み、「PassKillDisk」と呼ばれるものも使用しているとか。
To be honest, I am surprised that Russia's IT technology capabilities as a nation must be so low(ロシアの国家としてのITテクノロジー能力が、ここまで低レベルだったとは、正直、メチャクチャ驚いている)!
To be continued...
