攻殻機版ゴーストライター:MandiantによるUNC1151のベラルーシへの帰属について語る
この研究は、MandiantがUNC1151とGhostwriterの活動をベラルーシのエンティティに帰属させていることを発展させ、ミンスクにおけるロシアの軍事組織の影響を説明し、ロシアの利益との関連性を実証しています。 私たちの研究の時間枠は2017年3月から現在までで、オープンソースのエンリッチメントを備えたRecorded Future Platformからのデータを使用しています。 これは、脅威アクターと活動の広範な影響および推進要因との関係を理解するための基盤を提供するとともに、既存のサイバーセキュリティ業界のレポートを強化し、UNC1151およびGhostwriterの活動の理解における確立された知識のギャップに対処することを目的としています。 このレポートは、高度な持続的脅威アクターを追跡するサイバーセキュリティ専門家だけでなく、UNC1151 や Ghostwriter に関する詳細な情報を求める専門家にとっても興味深いものとなるでしょう。
Executive Summary
2021年11月16日、Mandiantのアナリストは、UNC1151と指定したサイバー脅威アクターが実施した活動に関する最近の調査結果を発表し、Ghostwriterと名付けられたサイバーおよび情報操作に対応した共同キャンペーンに関する洞察を提供しました。 Mandiantのチームは、ベラルーシ政府が主に欧州の企業を対象とした活動に関与していると高い確信度で評価しUNC1151 Ghostwriterの情報運用活動の背後には同じ企業があると中程度の信頼度で評価しました。 それにもかかわらず、Mandiantの調査では、ロシア政府やその他の国際的な企業がこのキャンペーンに関与する可能性を排除していません。
これまでのところ、ロシアの関与を示す技術的証拠は不足しているが、これは脅威活動の意図された要素である可能性が非常に高い。私たちは、UNC1151やゴーストライターの活動とロシアの脅威活動グループが使用する手口、戦術、テクニック、手順(TTP(戦術・技術・手順))に多くの重複があることを発見しました。 さらに、ロシア軍の高度な持続的脅威グループの間で偽 旗 が蔓延していることに留意するが、これはほぼ確実に、ロシア軍のマスキロフカ、つまり欺瞞の訓練によるものである。このような活動により、ロシア軍と連携したAPT(Advanced Persistent Threat)グループは、もっともらしい否定を可能にする方法で活動を計画し、実施することができます。また、ベラルーシにおけるロシア軍の広範な存在、および他のロシアのハイレベルな影響力と訓練の証拠を強調し、これらはすべてベラルーシにおけるロシアの関与と影響力の可能性を示唆しています。
主な判断
- Recorded Futureは、2021年11月にMandiantが発表した調査結果に異議を唱えておらず、UNC1151とGhostwriterの運営とベラルーシ政府(ベラルーシ軍と提携している可能性が高い)との技術的なつながりを示唆しています。
- ロシアの政府機関、特にロシアの軍事・学術部門の団体が、サイバーセキュリティや情報対立の問題でベラルーシ政府と対話している可能性が高いことを示唆する証拠は十分にあります。
- ロシアとベラルーシの治安機関の高官間のハイレベル会合の報告を確認しており、両者間の協力が可能性が高いことを示しています。
- ロシアの軍事組織(ロシア情報総局(GRU/GU)関連のAPTグループに所属する可能性のある個人を含む)が、ベラルーシの個人や組織から活動、支援、または訓練を受けた可能性が高い。この評価は、ベラルーシにおけるロシア国防省の長期にわたる作戦に基づいています。
- これらの組織間の相互作用は、ロシアの国家系軍事情報部隊がベラルーシを作戦基地として使用したり、情報戦やサイバー作戦の分野でベラルーシの要員を訓練したりするために必要な基盤を提供します。
- ゴーストライターキャンペーンは、UNC1151活動とともに、同時のサイバー活動と情報操作で構成されていました。GRU/GUのAPTグループは、情報領域の多面性を活かした業務に一貫して取り組んできました。 これらのグループは、GhostwriterキャンペーンとUNC1151活動の側面を実施する能力と意図を持っている可能性が非常に高いです。
- ロシアのGRU/GU APTグループは、サイバー侵入への関与を隠すために、過去の作戦で一貫して代理人を使用したり、偽旗作戦に従事したりしてきました。ベラルーシの領土からゴーストライター/UNC1151活動を行うか、ベラルーシ軍を関与させることは、ロシアの関与を隠すための同様のアプローチを提供する可能性が高い。
- この研究の関連性と、ベラルーシのゴーストライターとUNC1151脅威活動へのロシア政府の関与を説明することの重要性は、ロシア軍が外国の領土からどのように活動するか、またはプロキシを活用して帰属に対する課題を生み出す方法を明らかにすることです。 Recorded Futureプラットフォームによって可能になる技術データとコンテキストデータの合成により、アトリビューションの課題を軽減できます。
編集者注: この投稿は、レポート全文の抜粋です。分析全体を読むには、 ここをクリック をクリックして、レポートをPDFとしてダウンロードします。