ドナルド・トランプ氏が大統領選挙に勝利した数時間後、ロシアのサイバースパイ集団とみられるチームが、被害者を騙してマルウェアをインストールさせることを目的としたフィッシングメールを使い、複数の米国シンクタンクを標的にしたと非難された。
セキュリティ企業ボレクシティによると、水曜日にフィッシングメールが米国のシンクタンクや非政府組織に関係する数十の標的の受信箱に届いたという。
Veloxityによると、この攻撃の背後にはAPT 29またはCozy Bearと呼ばれるハッキンググループがいたという。セキュリティ専門家によると、このグループは民主党全国委員会へのハッキングにも関与したグループの一つであり、ロシア政府とのつながりが疑われている。
Volexityはブログ投稿で、水曜日の攻撃には国家安全保障、国際問題、公共政策などの分野の団体や個人を狙った5波のフィッシングメールが含まれていたと述べた。
被害者をメールを開かせるため、メッセージの件名は米国における不正選挙やそのシステムの欠陥に関するものでした。また、クリントン財団を装ったメールもありました。しかし、いずれのメッセージも、ダウンロードリンクや添付ファイルを開かせ、マルウェアをインストールさせることが目的でした。
ボレキシティ フィッシングメールのコピー。
このマルウェアは、感染したシステムを調査・制御するように設計されています。また、密かに追加の悪意のあるファイルをダウンロードし、ウイルス対策製品による検出を回避することもできます。
Volexity社は、使用されたマルウェアのせいで攻撃がCozy Bearグループのせいだとしている。同社の創設者スティーブン・アデア氏によると、そのマルウェアには、エリートハッカーチームに関連する他のハッキング手法で発見されたコードが含まれているという。
さらに、水曜日の攻撃は、8月に発生し、やはりシンクタンクやNGOを標的としたフィッシングメールキャンペーンで使用された手法と一致している。
この場合、悪意のあるメールは、Google Gmail アカウントと、おそらくハーバード大学の文理学部のハッキングされたメール アカウントが混在して送信されたものです。
ハーバード大学はコメント要請にすぐには応じなかった。
Volexityは標的となったシンクタンクの名前を明らかにしなかった。しかし、外交問題評議会の中国専門家アダム・シーガル氏とブルッキングス研究所の研究員メイブ・ウェラン=ウエスト氏は、2人ともフィッシングメールを受け取ったとツイッターで述べた。
これらの機関がなぜ標的にされたのかは不明だ。しかし、「シンクタンクの職員は、様々な政府関係者や政界関係者と多くの接点や関係を持っている」とアデア氏は述べた。
「私の推測では、これらの人々が言っていることにアクセスし、彼らに関する知識を活用してさらに彼らを標的にしようとしているのではないかと思います」と彼は語った。
セキュリティ企業クラウドストライクは、ハッキングチーム「コージー・ベア」がこれまでにホワイトハウス、米国務省、統合参謀本部のネットワークに侵入したことがあると主張している。
セキュリティ専門家や米国政府はコージーベアグループとロシアを関連付けているが、ロシア政府は国家が支援するハッキングへの関与を否定している。
