サイバーセキュリティ企業Akamaiが発表したレポートによると、同社の顧客企業の一つが現在、ロシア系ハッカー集団REvilによるDDoS攻撃を受けているという。REvilは今年初めに複数のメンバーが逮捕された後、活動を停止したとみられており、このハッカー集団はREvilの名を騙った単なる模倣犯ではないかとの見方もある。
Akamai のプレスリリースによると、同社のセキュリティ インテリジェンス レスポンス チーム (SIRT) は、ホスピタリティ業界の顧客の 1 社に対するレイヤー 7 攻撃について警告を受け、その背後にいるグループが REvil と関係があると主張しているという。
「[REvilなのか模倣犯なのか]判断するのは困難です。特にDDoS攻撃においては、その帰属を特定するのは困難です」と、アカマイのセキュリティ・インテリジェンス・レスポンス・チーム・エンジニア、チャド・シーマン氏は述べています。「今回のキャンペーンは、これまで報告されたキャンペーンとは異なる特徴があり、以前記録されたREvil攻撃を開始したグループとは異なることを示唆しています。しかし、正直なところ、それらが本当にREvilによるものだったかどうかは判断が難しいのです。」
DDoS攻撃がどのように実行されるか
サイバーセキュリティ企業であるAkamaiは、2022年5月12日に初めてハッキングを認識したと述べています。Akamaiの顧客がSIRTチームにDDoS攻撃について連絡し、攻撃元はREvilと関係のあるグループだと信じていたことがきっかけでした。問題の攻撃は組織的な攻撃で、あるウェブサイトを標的とし、キャッシュバスティング技術を用いたHTTP/2 GETリクエストを大量に送信することでアプリケーションを過負荷状態に陥れようとしていました。Akamaiによると、当該サイトへのトラフィックはピーク時に15,000Rpsに達し、ビットコインでの支払い要求も含まれていました。
メッセージには、身代金がビットコインでウォレットアドレスに支払われれば攻撃は停止するという主張と、プレスリリースでは明記されていない特定の国での事業停止を求める内容が含まれていました。Akamaiは、被害を受けた企業の運用チームと幹部に向けた要求のURLに「revil」が含まれていたことから、ロシアのハッカー集団REvilとの類似性から、この攻撃はREvilによるものだと推測しました。
さらに、SIRT チームによると、リクエストの末尾には固有の 8 文字の文字列が追加されます。これは、各サイト リクエストを固有にしてキャッシュされずに元の Web サーバーから取得する必要があるようにするために使用される一般的なキャッシュ無効化手法の一部です。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
この攻撃は模倣グループによるものなのでしょうか?
Akamai社によると、今回の攻撃手法はREvilが過去に実行した攻撃手法と一致するものの、DDoS攻撃の目的は政府によるものであり、REvilが過去に企業を攻撃した動機とは矛盾するとのこと。今回の攻撃が模倣犯によるものだと考えられる主な理由の一つは、REvilが以前、政治的な理由ではなく、純粋に金銭的な理由によるものだと主張していたことにある。
サイバーセキュリティ企業によれば、これは政治的な動機によるDDoS攻撃が利益を生むものかどうかをREvilがテストする一環なのかもしれない、あるいはREvilという名前が持つ影響力を利用して企業の幹部を脅して身代金を支払わせるために古いハッキング手法を再利用しているだけの模倣グループなのかもしれないという。
この攻撃がREvilのメンバーによるものなのか、それとも数ヶ月前に解散した、よく知られたサイバー犯罪集団の名前を利用して金儲けを企む無関係のグループによるものなのかは、現時点では完全には明らかではありません。いずれにせよ、企業はこのグループのハッキング攻撃の次の標的となる可能性に備えておく必要があります。
