アシヤネの歴史:イラン初の安全保障フォーラム

範囲注記*: Recorded Future は、イラン初かつ最大のセキュリティ フォーラムである Ashiyane Forum の進化に関する調査を実施しました。この調査の情報源には、Recorded FutureⓇ プラットフォーム、直接のフォーラムでのやり取り、オープンな情報源調査、イランのセキュリティ フォーラムに関する直接の知識を持つと主張する元イラン人ハッカーへのインタビューが含まれます。*

このレポートは、急速に変化するイランからのサイバー脅威や国家主導のサイバー脅威を理解し、組織の保護を強化したいと考えている組織にとって、最も興味深いものとなるでしょう。

Executive Summary

前回のレポートで、Insikt Groupは、イラン政府、攻撃的なサイバー作戦に使用される請負業者、およびイランのセキュリティフォーラムから始まる信頼コミュニティとの関係を文書化しました。本報告書は、イランの主要な安全保障フォーラムであるアシヤネ・フォーラムとイラン政府との歴史的なつながりをさらに探究する。 Recorded Futureは、20,000人を超えるAshiyane Forumメンバーのフォーラム投稿を観察し、2018年8月のAshiyane Forumの閉鎖後、イランのハッカーの移動の傾向を発見しました。

主な判断

• アシヤネ・フォーラムは、かつてイランの主要な安全保障フォーラムであったが、イランのイスラム革命防衛隊(IRGC)とのつながりが知られているイランの主要な治安請負業者の1つによって管理されていたが、2018年8月以降、再出現の兆候もなく閉鎖されている。
• 私たちは、Ashiyane Forumとその生みの親であるAshiyane Digital Security Teamが、イランの請負業者が才能を特定し、成功した攻撃ツールや戦術に関する情報を共有するための主要な情報源であったと評価しています。
• アシヤネ・デジタル・セキュリティ・チームの創設者であるベールーズ・カマリアンは、イラン政府と深いつながりがあり、短期間の刑務所生活を経て、現在、新たなビジネスの構築を試みています。
• Recorded Futureは、Ashiyane Forumの閉鎖以降、Ashiyane Forumのユーザーのごく一部が2つの異なるペルシャ語フォーラムのいずれかに移行し始めており、2つの新しいフォーラム間のメンバーシップの重複はほとんどないと中程度の自信を持って評価しています。

背景

• Recorded Futureは以前、 2015年6月 と 2018年5月にイラン・イスラム共和国のサイバー能力について報じ、同国のサイバー能力、地域覇権をめぐるサウジアラビアとの戦い、そして両回ともサウジアラビアに対する攻撃キャンペーンを実施する意欲について説明した。少なくとも2009年以来、イランは攻撃的なサイバー作戦を実施することで、 地域の挑発 と 国際制裁 の両方に定期的に対応してきた。このような攻撃の主な標的は、サウジアラビア、イスラエル、西側諸国の組織、およびアジアの 石油化学会社や航空 会社である。これらの攻撃の巧妙さは、 ソーシャル メディアのハイジャックや Web サイトの改ざん から、サ ウジアラムコ への攻撃や高度な スパイ 活動など、非常に破壊的なキャンペーンにまで及びます。
• Recorded Futureは、イランの国家支援事業の多くが請負業者を利用しており、イラン政府の請負業者は、優れたサイバー人材を見つけて維持するために、閉鎖的な信頼コミュニティを掘り起こすことを余儀なくされていると 以前に報告 しています。 以下は、イランのオンラインセキュリティコミュニティの起源と成熟、そしてその歴史においてAshiyane Forumが果たした役割についての説明です。
• 2002年、 Insikt Group 情報源によると、イランの若者は情報を共有するためにハッカーのウェブフォーラムとIRC(インターネットリレーチャットチャンネル(オンラインクラブ))を作っていた。 これらのフォーラム内の多くの活動には、メンバーが同業者の間での名声を得るためにライバルのハッカー Web サイトを改ざんすることが含まれていました。初期のフォーラムには、simorgh-ev.com と ashiyane.com が含まれていました。これらのフォーラムを運営する目的は金銭的利益ではありませんでした。むしろ、フォーラムのメンバーは攻撃的な手口を交換し、楽しみのために汚損を行った。しかし、2年も経たないうちに、イランのウェブサイトの改ざんには、イデオロギー的および宗教的な意味合いを含むメッセージが含まれ始めた。Insikt Groupの情報源によると、2007年末頃、ワッハーブ派(サウジアラビアの支配的な信仰)に合わせたサウジのフォーラムとイランのフォーラムの間で小規模で短いオンライン交戦が勃発した。
• イラン政府はこれらの改ざんに注目し始め、サイバー活動を正式なプロパガンダに変換し、イランの若者がシーア派の主張を取り上げました。 Insikt Groupの情報筋によると、悪評には「イランの擁護者」というレッテルのようなものがあり、イランのハッカーは外国のウェブサイトの改ざんに参加する新たな動機を持っていたという。
• 複数のデータポイントが、イランの安全保障フォーラムが、イランの請負業者の人員配置と知識共有に役割を果たしていることを示唆している。 例えば、Insikt Groupの情報筋は、イランのSimorghフォーラムの管理者は、サイバー作戦に関与するイラン軍の一部門であるイスラム革命防衛隊(IRGC)と家族的なつながりを持っていたと主張している。 最も疑わしいのは、APT33マルウェアXman_1365_xに見つかったハンドルが、イランで最大かつ最も有名なハッキングフォーラムであるAshiyane Forumのアクティブメンバーとしても発見されたことです。 このフォーラムは、IRGCの作戦とのつながりが証明されているイランの警備請負業者によって管理されています。 アシヤネ・フォーラムとその名前の由来となった請負業者であるAPT33と関係のあるフォーラム・メンバーとのつながり、および請負業者とイラン政府とのつながりに基づいて、アシヤネ・フォーラムがイランの国営請負業者に人員配置と知識交換を提供したと中程度の確信度で評価する。

芦屋根フォーラムの歴史と創設者

• アシヤネフォーラムは、アーカイブされたウェブページデータをもとに、2003年初頭にアシヤネデジタルセキュリティチームのオリジナルウェブサイト「ashiyane.com」の一部としてスタートしました。フォーラムは 2006年に独自のウェブサイトである ashiyane.org に拡大しました。Ashiyane.org、一般的な質問、ツールの共有、改ざん、トレーニングセッション、ニュースのセクションが含まれていました。これらの元のセクションの多くは、フォーラムが拡大し、イラン最大のハッキング フォーラムの 1 つになった後も存続しました。2018年8月、芦柳フォーラムは閉鎖されました。
• 
• 2006年の芦屋根のバナー。
• 
• 「イラン初の安全保障フォーラム」と謳うアシヤネ・フォーラムの横断幕。
• 芦山フォーラムは、ネットワーク セキュリティ企業 「 灰色の帽子 」である芦山デジタルセキュリティチームが運営していました。2002年に設立されたAshiyane Digital Security Teamの当初の目標は、コンピュータネットワーク内の脆弱性を発見し、イランのユーザーとネットワーク管理者にセキュリティについて教育することでした。彼らのグループメンバーは今でも悪名を馳せるためにウェブサイトを汚しており、2014年には、タイとインドの政府機関が所有する改ざんされたウェブサイトや、イタリアのIPでホストされているウェブサイトで、芦柳デジタルセキュリティチームのハンドルネームが発見された。
• アシヤネ・デジタル・セキュリティ・チームは、 アヤトラ・ホメイニ 氏に対する敬意の欠如を理由に、モサドやNASAを含むイスラエルと米国の政府機関に属する 数百のウェブサイト を攻撃した。スンニ派アラブのハッカーがイランのシーア派の宗教ウェブサイトのほとんどをホストしている主要なサーバーをダウンさせたとき、アシヤネ・フォーラムは、ハッカーが所有する主要なサーバーのうち5つを攻撃して 、300のアラビア語ウェブサイト をダウンさせることで対応した。司法省と他の業界関係者は、革命防衛隊に代わって作戦に関与した芦柳デジタルセキュリティチームのメンバーを特定した。
• 「イランのハッキングの父」として知られるベルーズ・カマリアン氏は、アシヤネ・デジタル・セキュリティ・チームのCEO兼創設者である。Behrooz 氏は、自分の知識を若いハッカーと喜んで共有することで、イラン人の間で 高く評価 されています。Behrooz は、彼が助けたと主張する多くのイランの 俳優 や 女優 の間でも人気があります 保護する 彼らのインスタグラムへのアクセス、特に以前の制御を取り戻すのを助けることによって 侵害、ハッキング アカウント。 芦柳デジタル・セキュリティ・チームがイラン国家支援の取り組みに関与する可能性について尋ねられたとき、ベルーズ氏は、芦柳フォーラムは独立して自発的に運営されているが、イランの軍事機関と協力して助言とセキュリティの改善を行っており、「常に国家の目標の枠組みの中で活動してきた」と主張した。
• 
• Behrooz KamalianさんのInstagramプロフィール。
• 芦柳部フォーラムの最も悪名高いウェブ改ざんは、歴史的なイランとサウジアラビアの紛争を中心に展開している。2008年後半、サウジのワッハーブ派グループがイランのサイトを汚すことでイランのウェブ改ざんに報復している間、ベルーズ・カマリアンは著名な聖職者アヤトラ・ナセル・マカレム・シラージを訪ねた。その会合の後、聖職者はワッハーブ派のウェブサイトへのさらなる攻撃をやめるよう、イランのハッキンググループに自制を公に要請した。しかし、汚損は止まりませんでした。zone-h.org に追悼されたやり取り、ウェブサイトの改ざんを記録するウェブサイト。2008年10月9日 、Delta Security(芦やねフォーラムのスピンオフ)は、 イランのサイトを改ざんした長い自己記録 歴を持つ俳優、bAd Hack3rによって 侵害、ハッキング されました。
• Insikt Groupの情報源 ある特定の作戦で、ワッハーブ派の攻撃者が展開したと主張しています スピアフィッシングキャンペーン Putty (Windows 用の無料のリモート接続アプリケーション) のバックドア バージョンを使用して 侵害、ハッキング 芦やねフォーラムの電子メール サーバー。 ワッハーブ派とされるグループであるXP-Groupは、特にイランの聖職者サイトを標的にし、下品な画像で汚し始めた。その後、 XP-Groupのウェブサイトは 報復として改ざんされた。外部の観察者にとって、最初にどちら側がエスカレートしたかを見極めるのは困難でした。芦柳部フォーラムのメンバーは Insikt Groupの情報源にカマリアンがXP-Groupを作ってドメインを所有していたと伝えた。 これが事実なら、XP-Groupはワッハービを装ったが、カマリアンが所有して運営していたことになる。アシヤネ・フォーラムとXP-Groupは本質的に同一であり、カマリアンは宗教的な動機による独自のサイバー紛争を製造していた。Recorded Futureは、これらの主張の二次検証を確認できていません。
• 2009年、政府はイ ランの緑の khamenei.com 運動に対応して、イランのすべてのハッキングサイトをブラックリストに登録する指令を出した。芦やねフォーラムは残った数少ないハッキングフォーラムの一つであり、 Insikt Groupの情報源によると、イランのハッキングコミュニティはカマリアンが本質的にイラン政府と単独情報源取引を結んだと推測した。 アシヤネ・フォーラムは、新世代のイランのハッカーとつながる主要なフォーラムとなった。
• 緑の運動のピーク後、政府が支援する攻撃的なサイバーキャンペーンは組織化されませんでした。2010年、 Stuxnetワーム はイランのウラン濃縮プラントの犠牲に成功し、IRGCは、(脅威についての)レポート作成 アヤトラ・ハメネイ師に、迅速で攻撃的なサイバーコンピテンシーの必要性を認識しました。 国家の利益に賛同する主要なハッキンググループとして、Behrooz と Ashiyane Forum は 支援するのに有利な立場にありました。芦柳デジタルセキュリティチームのメンバーの1人は、2011年12月にIRGC主導の米国の金融機関に対する 分散型サービス拒否(DDoS)キャンペーン に参加し、176日以上続きました。さらに、革命防衛隊におけるカマリアンの地位は、2011年に EU制裁リスト に載った後、さらに強固になった。

脅威分析:芦屋根フォーラムコンテンツ

• アシヤネフォーラムは、イランの国民国家サイバー勢力と明らかに協力しているセキュリティ会社が主催するイランのハッキングフォーラムの中で唯一、累積約2万人のアクティブユーザーを集めた。過去12年間の芦柳フォーラムのスレッドを収集・分析することで、Recorded Futureはフォーラム内の一般的な傾向を把握しました。芦やねフォーラムに投稿されたコンテンツの大部分は、ウェブエクスプロイトに焦点を当てていました。クロスサイトスクリプティング、DDoS攻撃、SQL、その他のブラウザベースのコードインジェクションは、フォーラムの開始以来、主要なテーマでした。さらに、Androidのエクスプロイトは、2014年1月のデバイス市場シェア全体の26.72%から2015年4月には37.85%へと、地域内のモバイルデバイスの数が 着実に増加 していることが原因と考えられ、過去4年間一貫して人気のあるトピックでした。
• 
• AndroRATの展開を支援するよう依頼するAshiyane Forumの投稿。 (出典:Recorded Future)
• 2015年に宣伝された上位のツールには、AndroRATやDendroid RATなどのAndroidリモートアクセストロイの木馬(RAT)やCitroni Ransomwareが含まれていました。 2016 年、フォーラムのコンテンツは、家電製品や Android デバイスのエクスプロイト、およびインターネット プロトコルのエクスプロイトに移行しました。 AndroidマルウェアのDroidJack、PCのトロイの木馬njRAT、USBマルウェアのPoisonTapが人気を博し、DDoS攻撃やSQLインジェクション攻撃に関する質問も出されました。 2017年には、2015年と2016年に議論されたものと同様のテーマが人気を博しましたが、多くの投稿はLinux製品とエンタープライズコンテンツ管理、およびAndroidデバイスを中心に展開していました。 Ashiyane Forumはイラン国内で最も有名なハッキングフォーラムの1つであったため、これらの投稿は、フォーラムに登録し、新しいWebブラウザやテクノロジーの単純なWeb脆弱性について同様の質問をする、経験の浅い新しいメンバーが一貫していることを示している可能性があります。
• 
• 芦屋根フォーラムのサイバートレンドのビジュアルは、近年のトップ3でご覧いただけます。
• Insikt Groupは、芦柳フォーラムには、フォーラムのベテランとして経験豊富なハッカーもかなりの割合でおり、フォーラムのメンバー間で新しい高度に高度な脆弱性が共有されるスピードが示していると考えています。たとえば、CVE-2015-0313の概念実証(Adobe Flash use-after-free(UAF)脆弱性、およびCVE-2015-0311の同様の投稿(Adobe Flashリモートコード実行(RCE)脆弱性)は、 脆弱性がNVDに 記録されて からわずか数か月後に共有されました。 さらに、2017年6月29日にCIAのハッキングツール「OutlawCountry」がウィキリークスで公開されたとき、わずか5日後に芦柳フォーラムのメンバーがツールを共有し、議論していました。
• 
• 2015年から芦屋根フォーラムに広告を出しています。 (出典:Recorded Future)

アシヤネ・フォーラムの閉鎖とイラン・ハッカーの移住

• 2018年3月12日、アシヤネ・デジタル・セキュリティ・チームの公式チャンネルは、イランの裁判所が追って通知があるまですべての活動を停止するよう命じたと発表しました。 この発表では、閉鎖が行われた理由については何も述べられていないが、イランの情報筋は、アシヤネ・フォーラムがギャンブルサイトを運営しており、終身刑や死刑などの罰則があるため危険であることを確認した。 芦屋根フォーラムは、2013年に芦屋根フォーラムのデータベースの一部がオンラインに流出した際に、ギャンブルと関連づけられていました。 Insikt Groupの情報筋によると、Ashiyane Forumのデータベースサポートに使用されたユーザー名は、「persianpoker」という名称でイランで運営されている複数のポーカーサイトの作成に関連していました。
• 
• 
• 2013年のAshiyane ForumのダンプのPastebinは、persianpoker[.]アジア。
• Recorded Futureのデータによると、芦柳フォーラムは2018年8月5日にオフラインになりました。フォーラムのメンバーは、サイトがハッキングされたり、強制的に閉鎖されたりしたという噂を流布しました。2018年10月31日、イランのホスティング専門家が「最近心配している。ベルーズがいない今、誰が責任者になるのかわかりません。」2018年4月中旬から7月にかけてのInsikt Groupの情報源と芦根フォーラムへの投稿には、Behroozが逮捕されたと記載されている。しかし、ベルーズは11月初めまでに刑務所から出所し、2018年11月8日、イラン人俳優がアカウントが侵害、ハッキングされた後、自分のインスタグラムアカウントへのアクセスを取り戻してくれたベルーズに感謝する インスタグラム動画を投稿 した。 インスタグラムのユーザーは、芦柳フォーラムの閉鎖について尋ねるBehroozの最近の投稿にコメントを残しているが、Recorded FutureはBehroozがそれらの投稿に関与しているのを観察していない。
• オンラインポーカーは、儲かると同時に危険な企業でもあります。 Insikt Groupの情報筋によると、イラン国内には3,000以上のギャンブルウェブサイトがあり、それらは短命で、毎日ブロックされています。 Insikt Groupは、統計自体に関する二次的な検証を見つけることができませんでしたが、Insikt Groupは、イランまたはイスラム国でギャンブル事業を行うことは、その厳しい罰則のために危険な行為であることを確認できます。 終身刑や死刑を受ける代わりに、ベールーズはわずか数ヶ月で刑務所を出ることができたが、それはおそらくイラン政府やIRGCとの既存の関係によるものだろう。 もしそうだとすれば、Behroozの寛大な判決は、国内のハッカーコミュニティにおける彼の役割がイラン政府にとって非常に重要であることを示唆しているのかもしれない。 しかし、Ashiyane Forumはオフラインのままで、Behroozはソーシャルメディアで有名人を支援するハッカーとして自分自身を再ブランド化しました。 Behroozが将来、Ashiyane Digital Security TeamとForumの再構築を試みるという証拠はありません。
• 
• 
• 芦屋根デジタルセキュリティチームの閉鎖に対するTwitterの反応。

芦屋根フォーラムメンバー移住活動

• イランのハッキングコミュニティ内で最大かつ最も著名なフォーラムの1つであるAshiyane Forumの閉鎖により、ハッカーは同じ話題の議論や交流を提供する新しいコミュニティを探すか、人気は低いものの、すでに確立されている他のフォーラムにますます依存するようになる可能性があります。
• Recorded Futureは、2014年から2018年にかけて20,000人以上の芦屋根フォーラムメンバーからの投稿をレビューしました。 Ashiyane Forumが閉鎖される前に活動していた18,060人のユーザーのうち、他のペルシャ語、アラビア語、ロシア語、英語のフォーラムと完全に一致する名前を持っていたのはわずか4%だった。 これらの完全一致のうち、特に際立っていたのは、VBIran.ir とPersian Toolsフォーラムの2つです。 下のグラフは、他のフォーラムでのAshiyane Forumのユーザー名の完全一致の数を、最初の投稿日で区切って示しています。 Recorded Futureは、ユーザー名の大部分が2018年3月のAshiyane Digital Security Teamチャンネル閉鎖の発表前(発表からフォーラムの閉鎖までの期間)に作成されたのか、それとも2018年8月5日のAshiyane Forumの閉鎖後に作成されたのかを確認しようと試みました。
• 
• Ashiyane Forumのメンバーシップが重複するフォーラム。 (出典:Recorded Future)
• Ashiyane Forumのユーザー名は237件一致しており、VBIran.ir 全体で最も多くの共通ユーザーを抱えており、ほとんどのユーザーはAshiyane Forumの閉鎖が発表される前に VBIran.ir フォーラムに投稿していました。 一方、Persian Toolsフォーラムは、Ashiyane Forumの発表前に共通のユーザー名を持っていませんでした - 85人のユーザー全員がシャットダウン期間中または終了後に登録しました。 CyberForum.ru には芦屋根フォーラムのユーザー名の一致も多数ありましたが、一致の大部分は一般的に使用されるユーザー名による誤検知でした。
• Recorded Futureは、誤検知の可能性を排除し、共通のエンティティを探した結果、Ashiyane Forumのメンバーと完全に一致するユーザー名は、VBIran.ir の総メンバーシップの約7%を占めており、メンバーの14人に1人が元Ashiyane Forumのメンバーであると結論付けました。 Ashiyane Forumのユーザー名との完全一致も、Persian Toolsフォーラムの全会員数に占める割合は、2018年3月の0%から3.5%に増加しました。 興味深いことに、2つのフォーラム間でAshiyane Forumのユーザー名にはほとんど重複がなく、Ashiyane Forumが閉鎖された後、他のフォーラムに移行したハッカーが2つの派閥に分かれたことを示唆しています。
• 
• 芦屋根フォーラムの移行の可能性に関するメンバーシップの内訳。 (出典:Recorded Future)

VBIran.ir とペルシャのツールフォーラム

• これらのフォーラムはどちらも芦屋根フォーラムの会員の約10分の1ですが、芦屋根フォーラム自体といくつかの類似点があります。 どちらのフォーラムにも、Ashiyane Forumと同様に、主にペルシア語の投稿が含まれており、攻撃的な戦術的な議論を行うためのかなり大きなフォーラムを提供しています。 ただし、Persian Toolsフォーラムと VBIran.ir は、内容と焦点の点で大きく異なります。 Persian Toolsフォーラムのほとんどの投稿は、販売投稿またはイラン、ハッキング、電子機器、さらにはサッカーに関連する投稿です。 Persian Toolsフォーラムのフォーラム組織も、Ashiyane ForumがAshiyane Digital Security TeamのWebサイトから分離される前のAshiyane Forumの組織と似ているようです。
• Persian ToolsフォーラムのWebサイトには、さまざまな形式のハッキングに関するサブセクションが存在しますが、Persian Toolsフォーラムでは、SSL証明書の販売、ホスティングサービス、さらにはWebサイトのデザインも提供しています。 VBIran.ir また、より一般的な視聴者にも対応しているように見えます。 VBIran.ir 投稿は主にディスカッションまたはチュートリアルに基づいており、ハッキングとソフトウェア開発の両方に関するトピックに対応しています。 さらに、VBIran.ir はPersian Toolsフォーラムのような特別なサービスを提供しておらず、代わりにさまざまなWeb開発プラグインを販売しています。 これが、芦屋根フォーラムのメンバー間で重複が少なかった理由として考えられる。

今後の展望

• アシヤネ・デジタル・セキュリティ・チームは、イランのハッキング・コミュニティ内で最大かつ最も著名なフォーラムの1つの管理者として、アシヤネ・フォーラムの閉鎖の理由を発表しておらず、その復活の可能性についての質問を無視している。 フォーラムは無期限にオフラインになる可能性があります。 芦屋根フォーラムに代わる明確なものはないようですが、小規模なフォーラムが新しいメンバーを引き付けています。
• 私たちは、イランでビジネス関係を持つ企業、サウジアラビアで事業を行っている企業、およびエネルギーまたは国防機関は、これらの新しいフォーラムの進化を監視する必要があると評価しています。 これまでアシヤネ・フォーラムを主要なコミュニティとして頼っていたイランの請負業者は、引き続き代替案を探すことになるだろう。
• また、ベールーズ・カマリアンは、イラン政府内での彼の関係と、イランの主要なハッカーの一人としての評判から、前述の組織を監視する価値のある人物であると評価しています。