国民国家の脅威アクター：次の戦争の最前線にある諜報機関

NATOは繰り返し次のように繰り返している。国家を狙ったサイバー攻撃はすべての加盟国に対する侵略である”。 集団的自衛権を定めた大西洋同盟第5条は、直ちに発効することになる。 NATOはサイバースペースを陸、空、空、宇宙と同等の武力紛争の新たな次元とみなしている.

始まりはこれまで以上に話題になっており、非常に興味深い本を読むとともに、私にインスピレーションを与えてくれました。 「サイバー戦争、来るべき戦争」 サイバー戦争に専念するアルド・ジャンヌリとアレッサンドロ・クリオーニによる共著で、この「デジタル時代」に私たちが経験していることを評価します。

現在、野戦は周辺シナリオでのみ可能であり、大国の軍隊が現場で直接対峙しないという条件のもとで行われている。 最近の歴史によれば、戦争は、それぞれが大国によって保護されている小規模な主体間の対立を通じた間接戦争として、あるいは秘密戦争、あるいはさらに良いのは、一方の主体が影に留まった競争相手のうちの二人の間で戦争を開始する接触戦争の形でのみ遂行できることが示されています。

秘密戦の形態の使用は、多かれ少なかれ秘密裏に、例えば政治的不安定化、経済戦争、妨害行為、制裁などの他の形態の非軍事戦争を伴わなければならない。 そして、必要に応じて瞬間瞬間に調整できるように、ある程度の柔軟性が必要です。

この文脈において、サイバー戦争は中心的かつ戦略的な役割を担うようになりますが、ある意味では伝統的な権力階層を破壊するものでもあります。

私たちは定義されたものに直面しています シャープパワー、ジャンヌリによれば、切断力は、その論理的展開を表しています。 ソフトパワー XNUMX年代にアメリカ人のジョセフ・ナイによって理論化された誘惑と文化的影響の実践に基づいています。 の シャープパワー それは、専ら平和的なものではなく、以下を目的としたシステムとして特徴付けられます。

• プロパガンダや情報操作を通じて世論に影響を与える。

• 輸出入システムと主要な商業物流ノードに作用することにより、国の経済に浸透します。

• 恐喝行為に訴えることをためらうことなく、当該国の政治的選択に影響を与える。

その紛争システムを推進するために 彼らは各国の諜報機関でしかあり得ない.

XNUMX 世紀後半のインテリジェンスは、大部分がイデオロギー的なものでしたが、現在のインテリジェンスは地政学的および地経学的観点から動いています。 以前の戦略は中央での領土支配を目的としていましたが、現在の戦略は接続ネットワークの観点から考えています。

膨大なデータの収集には、統合、検証、処理、分析技術が必要であり、サービスにはアルゴリズムに基づく高度なシステムが装備されており、場合によってはその結果が産業企業や金融企業に再販されます。 これはすでに始まった制限のない戦争の余波であり、とりわけ民主主義制度に劇的な問題を引き起こすことになるだろう。 戦闘の多くはフィールド上で行われます。 サイバー戦争.

11 年 2017 月 XNUMX 日、明らかに北朝鮮政府と関係のあるサークルによって、この情報が解き放たれました。 WannaCryの特徴を取り入れたウイルスです。 ワーム、すなわち、a マルウェア 自己伝播が可能であり、誤って発射されたミサイルの場合とまったく同じように、一種の緊急コードによって無効化することができます。 約一ヶ月ぶりに登場です NotPetya; この場合、攻撃は、過去に他の攻撃を行ったロシアの環境に近いグループによって開始された可能性があります。 マルウェア ウクライナの電力網。

WannaCry と NotPetya によって実行された攻撃が本当の紛争とみなせるかどうかを判断するのは困難です。 どちらの場合も、軍事生産用のコンピューター兵器に頼る「国家支援」組織を相手にしていたという事実は変わりません。 最初のケースの原因を特定するのが難しいとしても、XNUMX番目のケースでは、敵対状態にあるロシアとウクライナのXNUMXか国が関与しており、これは、新しいタイプの軍事作戦の特徴を垣間見ることができることを示唆しています。 従来の紛争領域に追加されるサイバネティック空間: 土地、水、空気、宇宙。

2017 年は、古いビジネス モデルとの境界線でもあります。 マルウェア 単一のデバイスとそれが想定する新しいモデルを目的としていた マルウェア 企業組織全体を攻撃します。

_{^{(図 1 - ランサムウェアの進化モデル)}}

かなり長々と話してしまいましたが、入門的な枠組みを提供し、参照コンテキストを定義する必要がありました。そうしないと、SF について話しているようになってしまいます。 私たちが進むシナリオを明確に理解できたので、「国家支援」組織とその活動の問題をさらに深く掘り下げてみましょう。

スパイ活動は常に存在していましたが、根本的に変化したのは、ほぼすべての組織に革新的なインテリジェンス機能を提供する高度なテクノロジーです。 テクノロジーへの依存が高まるにつれ、サイバースパイ活動はサイバー空間を悪用して政府、組織、または特定の個人に属する機密情報を秘密裏に入手することで大混乱を引き起こし、ビジネスの発展を妨げています。

目的は純利益を生み出すことですが、これは明らかに違法行為です。 秘密のコンピューター侵入に使用されるテクノロジーは両方とも高度ですが、統合されているため、過去にすでに使用されていることが非常に多いです。

これらの組織は誰ですか? 誰のことを話しているのでしょうか？ 誰がスポンサーになっているのでしょうか？

国家後援組織とは、他の政府や業界団体のネットワークを強制的に攻撃し、不法アクセスして情報を盗んだり、損傷したり、改ざんしたりする政府支援の団体です。.

私たちが目にするのは、常にではありませんが、多くの場合、攻撃者の種類と国の種類を示すさまざまな行動パターンです。 この主題についてエッセイを展開することはできませんが、主要なプレーヤーの特徴を要約してから、過去 XNUMX 年間に展開された活動に焦点を当ててみましょう。

知的財産の盗難が主な標的となっているようだ。 中国共産党.

Il ロシアのGRU 彼は外交政策と偽情報キャンペーンに関連する側面により重点を置いています。

イランのサイバー軍 彼は特に、核兵器の開発と使用を阻止することを目的とした攻撃に対する防衛活動に携わってきましたが、ここしばらくは攻撃技術も開発しており、近年いくつかの企業に対する最も有害なサイバー攻撃の責任を負っているとされています。

のサイバー攻撃 北朝鮮 彼らは経済的理由と金正恩氏の気まぐれの両方に動機づけられているようだ。 彼らは悪名高いグループを通じて金融機関を標的にして資金を盗みました。 ラザロ、忘れてはなりませんが、ランサムウェア攻撃の責任者であるとされている人物です。 泣きたい およびその他のよく知られたコンピュータ イベント。

シリアサイバー軍 彼は最近、モバイル機器の通信をハッキングし、独裁政権に対する反対勢力を混乱させ、抑圧しようとしている。

ご覧のとおり、これらのグループのサイバー活動の背後には複数の理由があります。 しかし、確かなことは、エスカレーションは衰えることなく、その勢いを増し続けているということです。

州が後援するグループの種類に関するレポートをウェブで検索し、それらをさまざまな州に帰属させようとしたところ、化学元素の名前に基づいて州の活動を特定するマイクロソフトの帰属マップが特に興味深いことに気づきました。 以下の表には、組織が活動する出身国とともにほんの一部が示されており、過去 XNUMX 年間で最も活発に活動し、説明された戦術を最も効果的に使用した組織が強調されています。

_{^{(表 1. 国家主体とその活動)}}

ロシア

過去 XNUMX 年間、ロシアを拠点とするグループは「」としての地位を固めてきました。世界的なデジタルエコシステムに対する脅威」は、適応性、永続性、重要な技術的能力、匿名化を最大限に活用する構造と、ますます検出を困難にするツールの使用を実証しています。

_{^{(表 2 - ロシアの分析: 活動と動機)}}

ノーベリウム SolarWinds Orion の場合のように、ソフトウェア アップデート コードを侵害することにより、サプライ チェーン攻撃がいかに潜行的で壊滅的なものになる可能性があるかを実証しました。 同グループは後続の悪用を約100の組織に限定したが、悪意のあるコードは世界中の約18.000の組織に影響を与え、影響を受けた顧客は更なる攻撃に対して脆弱なままとなった。

NOBELIUM の運用手法は、悪意のあるバックドアの単純なインストールとは大きく異なり、パスワード スプレーやフィッシングから、後続の攻撃を実行する条件を作り出すサードパーティ プロバイダーの侵害まで多岐にわたります。

150月には、この組織はフィッシングおよびなりすましの仕組みを使って米国政府機関のアカウントを侵害し、同政府機関のマーケティング部門を装い、主に米国および欧州全土のXNUMX以上の外交機関、国際開発機関、非営利団体にフィッシングメールを送信した。

最後に、米国と英国の諜報機関と法執行機関による最近の共同警戒により、複数の VPN プロバイダーを標的とした一連のブルート フォース攻撃が明らかになりました。 による攻撃 APT28、別名 ファンシーベアー.

ロシアの俳優たちは、適応スキルとセキュリティに関する深い知識を実証し、一方では帰属を回避し、他方ではあらゆる防御を打ち破ることを可能にしました。

NOBELIUM は、最も一般的なソフトウェア ツール、ネットワーク セキュリティ システム、クラウド テクノロジに加え、インシデント対応チームが永続性を確保するために運用プロセスに侵入できるソリューションを深く理解していることを実証しました。 別のロシア人抽出グループが使用した手口と非常によく似た手口。 イットリウム.

イラン

注意しない目には、特にロシアや中国と比較した場合、イランはマイナーなプレーヤーのように見えるかもしれません。 イランが少し前からこの問題に関与しているのは事実である。 ただし、アプリケーションの侵害、ソーシャル エンジニアリング、データの引き出しと破壊に関する広範な経験と多大な専門知識を実証することができました。

彼らの通常の標的は中東です。 特にイスラエル、サウジアラビア、アラブ首長国連邦が主な標的となっている。 目的は何よりもスンニ派の覇権を妨害することだ。 しかし、彼らはヨーロッパや北米でもその存在を見逃さなかった。

この種の非対称紛争は、イランの政治的およびイデオロギー上の敵対者と冷戦を遂行するための便利で低コストの方法を提供する。

として知られるグループがイランと関連している可能性が非常に高い。 ルビジウム は、2 年末から 3 年初めにかけて、イスラエルを標的とした Pay0Key および N2020tw2021rm ランサムウェア キャンペーンを実施しました。RUBIDIUM ランサムウェア キャンペーンの標的となったのは、海運物流部門で活動するイスラエル企業の部門でした。 これらの目標は、イスラエルの圧力に報復するというイラン政府の戦略との関連を示している。

2020年末、グループは リン は、核をテーマにした記事へのリンクを送信し、被害者を認証情報収集サイトに誘導することで、政治家に対するフィッシング キャンペーンを実施しました。 この攻撃は、トランプ大統領が2015年に離脱した2018年のイラン核合意に関するイランと米国の関係と密接に関連しており、イスラム共和国を弱体化させ、西側諸国との再和解を促すことを目的として、再びイスラム共和国に対して新たな制裁を課している。

昨年XNUMX月にウィーンで核協議が再開された際、フォスフォラスが標的を絞り、攻撃を強化したのは偶然ではない。

_{^{(表 3 - イラン分析: 活動と動機)}}

_{^{(図 2 - イラン: スピア フィッシングによる典型的な PHOSPHORUS 侵害の流れ)}}

中国

最近発表された地政学的および戦略的目標を考慮すると、非常に多くの脅威アクターが自由に使える状態であり、中国がその作戦を強化および進化させていないと考えるのは愚かである。 2020 年の攻撃で見られたように、中国は確立された手法を使用しましたが、システムのハードウェアを悪用して注入されるランサムウェアの使用においても目新しいものでした。

過去 XNUMX 年間、中国の攻撃者による脅威は政策情報を求めて米国を標的にしており、特にヨーロッパやラテンアメリカ諸国で外交政策を実施する政府機関が標的となっています。 使命を達成するために、彼らはさまざまなネットワーク コンポーネントやサービスに対して、これまで未確認だった多数の脆弱性を悪用しました。

最もよく知られているグループの中で、次の XNUMX つのグループについて説明します。

• ハフニウム、2021年のMicrosoft Exchange Serverデータ侵害の責任者であるグループ電子メールシステムへの攻撃はXNUMX月に遡り、近年で最も壊滅的な攻撃のXNUMXつであり、米国でバイデン大統領が直接影響を受けたほど深刻だった。 これは、資格情報を必要とせずにリモートで行われたため、最も洗練された攻撃の XNUMX つであり、個人データが誰でも悪用可能になり、ランサムウェア攻撃にさらされる可能性がありました。

• APT27、別名 使者パンダ、ランサムウェアを使用してゲーム会社を攻撃し、金銭的恐喝をターゲットにしたグループです。 この攻撃者がこのモードで動作するのはこれが初めてではなく、同時期に他のいくつかの企業がクリプトマイニング活動を行っていたほどです。

^{_{(表 4 - 中国分析: 活動と動機)}}

北朝鮮

他の国家と比較した国の規模と資源を考慮すると、もう一つの非常に活発な国家は北朝鮮です。

北朝鮮の標的の大部分は特定の人物に向けられており、これらの標的の選択はおそらく、北朝鮮が公開されていない外交的または地政学的な情報を入手するのを支援する可能性を考慮して行われたと考えられる。

北朝鮮の主要グループは、 タリウム, ZINC, オスミウム e セリウム 彼らは世界中の外交官、学者、シンクタンクのメンバーに焦点を当てました。

標的となった人のほとんどは韓国、米国、日本の３カ国に属していた。 しかし、北朝鮮の攻撃者はヨーロッパでも学者やシンクタンクの関係者を標的にしており、一般に北朝鮮の友人とみなされている中国やロシアでも標的にしている。 

外交的または地政学的な情報への関心は、おそらく国際情勢に関する情報を知りたいという北朝鮮の熱意によって引き起こされたものと思われる。 この外交目標は、米国選挙中および選挙直後の両方で特に追求された。 北朝鮮が情報収集に強い関心を示したのは、おそらく次の質問に対する答えが必要だったからでもある。

• 国際社会は今後も北朝鮮に対する厳しい制裁を続けるのか。

• 新型コロナウイルス感染症は国際情勢をどのように変化させるのでしょうか?

• 米国新政権の対北朝鮮政策はどうなるのか、そして米韓日三者はその政策をどのように推進していくのか。

新型コロナウイルス感染症は、韓国を拠点とするグループが製薬会社に対して実施したさまざまな攻撃キャンペーンの中心にもなっている。 19年2020月、ZINCとCERIUMは、おそらくワクチン研究で優位性を得る、あるいは世界中のワクチン研究の現状について洞察を得るために、複数の国の製薬会社とワクチン研究者を標的にしました。 

最後に、北朝鮮はまた、これまでに見たことのない非常に洗練されたソーシャルエンジニアリング手法を使用しました。 ZINCは昨年XNUMX月、セキュリティ研究者をターゲットに、本物のセキュリティ企業や研究者に属するかのような偽のプロフィールを作成し、偽のWebサイトを生成するキャンペーンを実施した。

_{^{(表 5 - 北朝鮮分析: 活動と動機)}}

西側の状況

従来のものであろうとなかろうと、戦争は二つに分けられ、何が現れるかによって分かれますが、どうやらそうではないようです。 これは実際に当てはまり、基本的に次の XNUMX つの理由があります。

1. 過去 2020 年間、米国はますます高度化して危険なサイバー攻撃の主な標的となってきました。 この理由は、世界中のハッカー グループから見た米国の特徴に直感的に遡ります。 これらの主題にとって、米国は攻撃対象の非常に広い面を表しており、同時に、経済的および情報/諜報の獲得の可能性も無視できないものである。 23,6 年に米国は世界のどの国よりも 2020% 多くサイバー攻撃の標的となったと言えば十分でしょう。 これまで言われてきたことは、250 年春に発生した Microsoft の Exchange 電子メール サーバーへの攻撃の影響にも表れていると言えます。問題のハッカー攻撃により、Microsoft のオンプレミスおよび非クラウドの電子メール サービスを使用していた約 XNUMX の企業が即座に脆弱になりました。 攻撃の規模と複雑さにより、米国のサイバー防御装置を全面的に稼働させる必要がありました。 このシステムは、他の多くの国と比較して、この分野では確かに前衛的なものですが、同時に重大な危機も抱えています。 たとえサイバー戦争において米国が特に発達した攻撃的および防御的な「火力」を持っていたとしても、この力はサイバー空間の優位性や「サイバーパワー」の制御を保証するものではなく、したがってサイバネティックな覇権は存在しない。 それにもかかわらず、米国がサイバー紛争の強国であることは疑いの余地がありません。

2. 「包括的」と定義される新しいサイバー防衛政策の承認は、重要インフラや民主的機関を標的としたランサムウェアやその他の攻撃の拡大を考慮して、必要性として提示された。 2018年に同じくベルギーの首都で開催された前回のNATO首脳会議ですでに、「個々の同盟国は、必要に応じて、悪意のあるサイバー活動の帰属を検討し、帰属が国家主権の特権であることを認識し、協調して対応することができる”。 以前の文言では、「武力攻撃」という特定のカテゴリーに言及していないことに加えて、加盟国は攻撃の帰属を自主的に評価し、それに応じて対応する権限しか残されていませんでした。 しかし、サイバネティック作戦の場合、特に国家によるものと疑われる場合の責任プロファイルを確認するのが難しいことはよく知られているため、この可能性を適用することは困難です。 新しい政策は入手できないが、最終声明の内容は明らかである 同盟の防御的な性質を無傷に保ちたいという意志：あらゆるサイバー脅威に何らかの手段で対応する機会を予見しながらも、サイバー攻撃能力の開発と使用を推進することはありません。 これはすべて、サイバー攻撃が個々のターゲットに限定されず、予測不可能な影響を与える可能性があるという事実と、サイバー攻撃を使用するとエスカレーションを引き起こす可能性があることに加えて、悪用された脆弱性が知られるため、使用したのと同じ手法を再利用することが不可能になるという事実によるものです。

攻撃は止まらない

2021年もサイバー攻撃の観点から見るとひどい年でした。これまで見てきたように、政府や企業のウェブサイトやネットワークを混乱させることを目的としたサイバー戦争が展開するシナリオがこのシナリオにあります。さらに危険なのは、重要なサービスの妨害や停止、インフラやそのネットワークへの損傷、機密データの盗用や改ざん、金融システムの停止、さらには超大国の大統領選挙の結果を左右する可能性さえあります。

近年、サイバー戦争は最も効果的な戦争形態の XNUMX つとなっており、有害とみなされる政府や経済を統治する人々に損害を与える目的で使用されています。 この種の戦争には、通常兵器が使用される場合のような多大な費用がかかりません。

サイバー戦争の秘密の性質は、私たちを冷戦時代のスパイ活動の時代に戻します。 一般の人々が、特に西側諸国で比較的平和な時代に生きていることがいかに幸運であるかをじっくり考える一方で、超大国やそれ以外の国々はハードルを上げている。

サイバネティック兵器は壊滅的な破壊能力を持っています。 そして問題は、それらを特定して戦うのは簡単でも早くでもないことです。

現代世界は情報技術を中心に展開しており、情報技術に情報技術を委ね、その存在に全面的に依存しています。情報技術を変更できた者が将来のサイバー戦争で優位に立つことになりますが、影響を受ける国民や政府はどのような代償を払うことになるのでしょうか?

これらは私には答えられない質問です。 私が知っていて望んでいることは、平和に暮らすために私たちに与えられた世界を守るために誰もが一歩下がって、法王が言うようにテクノロジーは真に神からの贈り物であることを誰もが理解できるようになることです。

_{リファレンス}

_{https://www.nato.int/cps/fr/natohq/official_texts_17120.htm?selectedLocale=it}

_{https://aldogiannuli.it/tag/guerra-coperta/}

_{(PDF) ソフトパワー: 概念の起源と政治的進歩 (researchgate.net)}

_{WannaCry の話をご存知ですか? 最も有名なマルウェアの背後にあるものを知るため。 - YouTube}

_{史上最も壊滅的なサイバー攻撃、NotPetya の物語 (hitechglitz.com)}

_{Lazarus Group、HIDDEN COBRA、Guardians of Peace、ZINC、NICKEL ACADEMY、グループ G0032 | マイターアタック&CK®}

_{Microsoft デジタル ディフェンス レポート 2021 年 XNUMX 月}

_{史上最も洗練された国家攻撃、NOBELIUM の追跡 - Microsoft セキュリティ ブログ}

_{ファンシーベア - ウィキペディア}

_{APT29、NobleBaron、Dark Halo、StellarParticle、NOBELIUM、UNC2452、YTTRIUM、The Dukes、Cozy Bear、CozyDuke、グループ G0016 | マイターアタック&CK®}

_{RUBIDIUM 脅威グループ – Cyber​​ Security Review (cybersecurity-review.com)}

_{イスラエルでのサイバー攻撃の波で N3TW0RM ランサムウェアが出現 (bleepingcomputer.com)}

_{イラン国家ハッカーがランサムウェアに切り替える}

_{DearCry ランサムウェアと HAFNIUM 攻撃 – 知っておくべきこと (cybereason.com)}

_{APT27 – サイバーセキュリティレビュー (cybersecurity-review.com)}

_{Kimsuky APT は引き続き韓国政府をターゲットにしています | 2021-06-09 | セキュリティマガジン}

_{セキュリティ研究者に対する ZINC 攻撃 - Microsoft セキュリティ ブログ}

_{PowerPoint プレゼンテーション (hhs.gov)}