違法なサイバー活動の世界には、様々な種類の脅威アクターが存在します。スパイウェア・アズ・ア・サービス(SaaS)や商用サイバー監視といった攻撃サービスを販売する企業の話は、ますます頻繁に耳にするようになりました。政府の支援を受けているアクターもいます。さらに、ハッカー・フォー・ハッカーと呼ばれる別のカテゴリーの脅威アクターも存在します。
Google の脅威分析グループ (TAG) は、この種の脅威とその仕組みに関する新しいレポートを公開し、インド、ロシア、アラブ首長国連邦のエコシステムの事例を示しました。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
雇われハッカーとは誰ですか?
雇われハッカーは、アカウント(主にメールボックス)への侵入とデータ窃取をサービスとして行う専門家です。彼らは、そうした行為を行うスキルや能力を持たない人々にサービスを販売します。
料金を支払う人なら誰にでも公然とサービスを宣伝する企業もあれば、目立たないようにして限られた対象者にのみサービスを販売する企業もあります。
一部のハッカー請負会社は、顧客と脅威アクターの間の代理人として機能する第三者、一般的には民間の調査会社と提携しています。また、このようなハッカー請負会社が、直接雇用を避け、経験豊富なフリーランスの人材と協力することを選択する場合もあります。
インドのハッカーを雇う
Google の TAG は、インドのハッキング請負会社に関する詳細を共有することを選択し、インドのハッキング請負アクターの絡み合ったグループを追跡していることを示唆しており、その多くは以前、インドの攻撃セキュリティ企業 Appin Security および Belltrox で働いていたことがある (図 A )。
TAG は、これら 2 社の元従業員を、商業ウェブサイトで企業スパイ活動を公然と宣伝している新興企業 Rebsec に結び付ける可能性があります (図 B )。
ロシアのハッカーを雇う
ロシアのハッカーグループは2017年からTAGチームによって追跡されており、ロシアおよび周辺国の一般市民に加え、ジャーナリスト、政治家、さまざまなNGOや非営利団体を標的にしている。
これらの攻撃キャンペーンでは、脅威アクターは、標的を問わず似たような認証情報フィッシングメールを使用しました。被害者を誘導するフィッシングページは、Gmailなどのウェブメールプロバイダー、あるいはロシア政府機関を装う可能性がありました。
2018年以降消滅した公開ウェブサイトでは、電子メールボックスやソーシャルメディアアカウントを侵害するサービスの詳細情報や宣伝が掲載されていた(図C)。
ロシアのサイバー犯罪の地下世界ではよくあることですが、脅威アクターは、Probiv.cc や Dublikat などのさまざまな有名なサイバー犯罪マーケットプレイスから自社のサービスに対する肯定的なレビューも強調しました。
アラブ首長国連邦のハッカー雇用
TAGが追跡しているあるハッカーグループは主に中東と北アフリカ地域で活動しており、欧州の中東に重点を置くNGOやパレスチナの政党ファタハを含む政府、教育、政治組織を標的にしている。
その攻撃者は、Web ブラウザでのタスクの自動化に役立つツールである Selenium を活用したカスタム フィッシング ツールキットを使用して、主に Google または Outlook Web Access (OWA) のパスワード リセットのルアーを使用して、ターゲットから有効な認証情報を盗みました。
侵害されると、Thunderbird などの正当なメール クライアントに OAuth トークンを付与するか、被害者の Gmail アカウントを脅威の攻撃者が所有する別のメール アカウントにリンクすることで、永続性が維持されます。
興味深いことに、この脅威の攻撃者は、Bladabindi、H-Worm、Houdini-Worm としても知られる悪名高い njRAT マルウェアの元の開発者と関連している可能性があります。
雇われハッカーのターゲットは誰ですか?
こうした種類の活動の最も一般的なターゲットは、世界中の政治活動家、ジャーナリスト、人権活動家、その他の高リスクユーザーです。
企業、弁護士、弁護士もまた、予想される訴訟や訴訟中にハッカーを標的として雇われるため、リスクにさらされています。また、企業スパイや産業秘密の窃盗の標的となる可能性もあります。
最後に、雇われハッカーの中には、安価で侵入し、進行中の情事などに関する情報を探している夫や配偶者など、あらゆる個人にアクセスを提供する組織もあるため、あらゆる国民がターゲットになる可能性があります。
雇われハッカーから身を守るには?
こうした脅威の主体のほとんどは、実際には電子メールのフィッシングを起点として利用しており、通常、電子メール ボックスの侵害やデータの窃盗以上のことは行いません。つまり、必ずしもマルウェアを必要とせず、むしろソーシャル エンジニアリングのトリックを使用しているということです。
参照: モバイルデバイスのセキュリティポリシー (TechRepublic Premium)
メールフィッシングや関連する詐欺行為に対する意識を高める必要があります。また、可能であれば多要素認証を導入し、こうした攻撃者に対するセキュリティを強化する必要があります。
Google は、リスクの高いユーザーに対して、高度な保護機能と Google アカウント レベルの強化されたセーフ ブラウジング機能を有効にし、すべてのデバイスが最新であることを確認することを推奨しています。
最後に、メール内のリンクをクリックして表示されるウェブページで認証を行うべきではありません。ユーザーは必ずサービスの正規のページに移動し、リンクを使用せずにそこで認証を行う必要があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
