イランのサイバー作戦グループ、エメンネット・パサルガド(別名コットン・サンドストーム)は攻撃範囲を拡大し、イスラエルと米国以外にも標的を広げ、IPカメラなどの新たなIT資産を狙っている。
先週発表された勧告では、米国司法省と財務省、そしてイスラエル国家サイバー局(INCD)が戦術の変化を指摘し、同グループが合法的な企業であるアリア・セペール・アヤンデサザン(ASA)として活動し、中東の脅威グループにリソースとインフラサービスを提供していたと指摘した。さらに、政府の勧告によると、エメンネット・パサルガドは今年初めからIPカメラをスキャンし、フランスとスウェーデンの組織を標的にし、さまざまな選挙会場やシステムを積極的に調査している。
「2020年の米国大統領選挙を標的としたエメンネットのキャンペーンと同様に、FBIは、このグループの最近のキャンペーンには、コンピューター侵入活動と、被害者のネットワークや盗まれたデータへのアクセスに関する誇張されたまたは虚偽の主張が混在し、作戦の心理的効果を高めていると判断している」勧告では述べられている。
最新の情報では、イランが敵とみなされる人々を標的とする手段としてサイバー作戦をますます利用していることが浮き彫りになっている。2020年と2022年、エメンネット・パサルガドは、プラウド・ボーイズのボランティアを装い、偽の動画を共和党議員に送信して、米国大統領選挙と中間選挙を標的とした偽情報キャンペーンを展開した。米国司法省は、電子メールによる脅迫の送信や選挙ウェブサイトへのハッキングの試みに加え、イラン国籍の2人を起訴した罪で起訴した。
脅威検知・対応企業Trellixの脅威情報責任者、ジョン・フォッカー氏は、過去1年間でイランはサイバー攻撃を利用して敵を混乱させる試みを強化し、より大胆な戦術を駆使していると述べた。
「イスラエル・パレスチナ危機が始まった2023年10月以降、イランのハッカーは米国とイスラエルに対する活動を活発化させ、政府、エネルギー、金融などの重要なセクターを標的にしている」と同氏は述べた。 「イランと関係のある攻撃者が機密データを盗み、サービス拒否攻撃を仕掛け、ランサムウェアやワイパー ストレイン (Handala ワイパー など) などの破壊的なマルウェアを展開して組織を混乱させているのを確認しています。」
イランのサイバー攻撃者が視野を広げる
Emennet Pasargad は、大規模言語モデル (LLM) サービスにアクセスし、IP カメラのデータをスキャンして収集するためのフロントとして、合法的な IT サービス会社である ASA を装って活動することがよくあります。このグループは「インフラス��トラクチャの管理と難読化のために複数の隠れホスティング プロバイダーを使用してきた」と、共同サイバーセキュリティ アドバイザリは付け加えています。
テルアビブにオフィスを構える侵入および攻撃シミュレーションプラットフォームプロバイダーであるSafeBreachのセキュリティ研究担当副社長、トメル・バー氏は、偽装組織を利用して活動を隠し、合法的に見せかけるのは、イランの脅威アクターにとって一般的な手法だと語る。例えば、Charming Kitten(APT35)は、Najee TechnologyとAfkar Systemという2つの企業を装って偵察と攻撃を行ったが、この2社は2022年に米国財務省から制裁を受けた。
「偽装企業の使用は目新しいものではなく、イランはスパイ活動と注意をそらす目的の両方で使用してきた」とバー氏は語る。
また、Trellixのフォッカー氏によると、偽装企業により、グループはインフラの一部として商用サービスを使用し、一定期間、活動を隠すことができるという。
「脅威の担い手は、違法行為のためにリソース、ソフトウェア、ホスティングを取得する必要があります」と彼は言います。「『合法的な』フロント企業があれば、これらのサービスを取得しやすくなりますし、もっともらしい否認を与えるための追加のバックストッピングとして機能します。」
政府、企業は状況を把握する必要があります
戦術の変化は、組織が脅威グループを阻止するために防御を継続的に調整する必要があることを強調しています。企業と政府機関は、信頼できるベンダーからのみテクノロジーとソフトウェアを購入し、それらのベ�ンダーが独自のサプライチェーン検証と脆弱性修正プロセスを持っていることを確認する必要があります。
共同サイバーセキュリティアドバイザリは、組織に対して、Private Internet Access、ExpressVPN、NordVPNなどの仮想プライベートネットワークサービスからのネットワークまたはクラウドサービスへの成功した認証を確認するよう求めました。企業は、定期的にアップデートを適用し、回復力のあるバックアップ プロセスを作成することに加えて、インターネットに接続された資産と企業ネットワークの間に「非武装地帯」(DMZ) を展開し、ユーザー入力を検証し、ネットワークとアプリケーション全体に最小権限ポリシーを実装することを検討する必要があります。
SafeBreach は、攻撃者が LinkedIn を定期的にスキャンして、新しい役職でプロフィールを更新した従業員を探し、会社の管理者としてスピア フィッシングのテキストまたはメールを送信し、企業システムにログインするように要求するケースに遭遇しました。その後、攻撃者は悪意のあるリンクを介して被害者の資格情報を取得します。
Trellix の Fokker 氏は、企業は接続されたデバイスに重点を置き、カメラやその他のハードウェアにパッチを適用し、ネットワーク セグメンテーションを使用してそれらを保護し、攻撃者に先んじて自社の IP 空間を定期的にスキャンする必要があるとも強調しています。
「ますます多くの政府が、製造業者の厳しい要件に加えて、IP 空間のプロアクティブなスキャンと国内組織への通知の追加レイヤーを検討しています」と同氏は言います。 「まず第一に、それは組織自身の責任であるべきだ。しかし��、政府がこのプロセスを支援し、脆弱なカメラの存在を知らない組織に警告すれば役に立つだろう。」