サイバーセキュリティー企業ファイアアイによると、米国の大手燃料パイプライン会社コロニアル・パイプラインを攻撃したハッカーグループに関連するサイバー犯罪が、戦術を変えて、再び起きている。

　コロニアル・パイプラインへのランサムウエア（身代金要求型ウイルス）攻撃の黒幕ダークサイドは先月、活動を停止したが、ファイアアイは１６日、その後、ダークサイド系組織が監視カメラのソフトウエアユーザーを攻撃していたことを発見したと発表した。

　この日、バイデン米大統領がロシアのプーチン大統領と会談し、ロシアの政府とハッカー集団が関与したハッキング、ランサムウエア攻撃について話し合った。バイデン氏は、ダークサイドをロシアと関連付けたが、ロシア政府とは無関係としていた。１６日、プーチン氏に、ロシアは「交通規則」を守り、重要インフラへの攻撃は控えるべきだと訴えた。

　プーチン氏は会談後の会見で、サイバー攻撃の責任は米国にあると主張した。

　「米国からの情報によると、世界のほとんどのサイバー攻撃は、米国のサイバー領域から実行されている。２番目はカナダ、次いで南米の２カ国、英国、ロシアは、ほとんどのサイバー攻撃の発信元の中に入っていない」

　プーチン氏は、この情報源を明らかにしなかった。米当局者、サイバーセキュリティー専門家によると、大きな被害をもたらした近年のハッキング、サイバー攻撃の大部分は、ロシアからのものだ。米政府は、ソーラーウィンズ社のソフトを悪用し、九つの連邦機関に侵入したハッキングは、ロシアの対外情報庁（ＳＶＲ）が、コロニアル・パイプラインと食肉大手ＪＢＳへのランサムウエア攻撃は、ロシアのサイバー犯罪組織が関与したとしている。

　ファイアアイが１６日に明らかにしたところによると、同社のマンディアント部門は、ダークサイド系の「ＵＮＣ２４６５」が、新たなサイバー攻撃を試みたことを発見した。ダークサイドは先月、活動を停止したとみられている。

　ダークサイドは、ＲａａＳ（ランサムウエア・アズ・ア・サービス）というモデルを取り入れていた。悪意のあるソフトウエアの開発者とそれを配布する関連組織が、標的がデータを取り戻すために支払った身代金を分け合うという仕組みだ。

　ファイアアイは、ダークサイド系組織がランサムウエアを配布した証拠はつかんでいないが、標的が使用しているソフトウエアを運用する企業への侵入など、ソフトウエア・サプライ・チェーン攻撃を行ったことは把握している。

　ファイアアイによると、ダークサイド系組織は、監視カメラ供給業者のサイトの二つのソフトウエア製品を悪用し、怪しまれることのないユーザーとして標的へのアクセスを獲得していた。

　ファイアアイの脅威調査員らは同社のブログで「ＵＮＣ２４６５が、サイト訪問者への攻撃やフィッシングメールから、このようなソフトウエア・サプライ・チェーン攻撃へと移行したことは、懸念すべきであり、これによって発見が困難になる」と指摘している。

（６月１６日付）

Cybercriminals linked to the ransomware group that hit major U.S. fuel supplier Colonial Pipeline have reemerged and changed their tactics, according to cybersecurity firm FireEye.

While the DarkSide ransomware group behind the attack on the pipeline company appeared to go dormant last month, FireEye said Wednesday it detected a DarkSide affiliate later targeting closed-circuit television software users.

FireEye’s disclosure comes as President Biden met with Russian President Vladimir Putin Wednesday and discussed recent hacks and ransomware attacks attributed to Russia’s government and its cyber criminals. Mr. Biden previously linked the DarkSide group to Russia, but not the Russian government, and he said on Wednesday that he told Mr. Putin that Russia needs to abide the “rules of the road” in keeping certain critical infrastructure targets off-limits.

Mr. Putin sought to shift the blame for cyberattacks from Russia to the United States in remarks to the press after his meeting with Mr. Biden.

“From American sources, it follows that most of the cyberattacks in the world are carried out from the cyber realm of the United States,” Mr. Putin said. “Second place is Canada, then two Latin American countries, afterward comes Great Britain. Russia is not on the list of countries from where － from the cyber space of which － most of the various cyberattacks are carried out.”

He did not identify the source of his list and many of the most damaging hacks and cyberattacks in recent years have traced back to Russia, according to U.S. officials and cybersecurity researchers alike. The U.S. government attributed the SolarWinds hack that compromised nine federal government agencies to the Russian Foreign Intelligence Service, and recent ransomware attacks on Colonial Pipeline and meat producer JBS have been linked to Russian cybercriminals.

FireEye said Wednesday that its Mandiant division detected “UNC2465,” a DarkSide affiliate, attempting a new cyberattack after DarkSide was said to be shutting down last month.

DarkSide relied on a ransomware-as-a-service model in which developers of malicious software and affiliates deploying it shared portions of ransom payments made by victims to regain access to their data.

FireEye did not observe the DarkSide affiliate deploying ransomware but instead launching a software supply chain attack, which involves a single breach to obtain access to companies that run the victim’s software.

The DarkSide affiliate compromised two software installation packages from a closed-circuit television security camera provider’s website and gained access to potential victims through an unsuspecting user, according to FireEye.

“UNC2465’s move from drive-by attacks on website visitors or phishing emails to this software supply chain attack shows a concerning shift that presents new challenges for detection,” wrote FireEye threat researchers on the company’s blog.

June 16, 2021