piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

従業員へ賄賂を渡し脅迫目的で不正アクセスを企んだ米国の事件についてまとめてみた

2020年8月25日、米司法省はネバダ州の企業のネットワークへマルウェア感染の陰謀をはかったとして、ロシア国籍の男を逮捕したと発表しました。その後、ターゲットにされた企業がテスラ社だったと報じられています。ここでは関連する情報をまとめます。

犯行に協力させるため従業員に賄賂

www.justice.gov

  • 逮捕、起訴されたのはロシア国籍 27歳の男。2020年7月28日に観光ビザで入国していた。
  • アメリカネバダ州の企業で働く従業員(訴状ではCHS1と記載されている、ここでは従業員Aと表記)に賄賂(100万ドル)を渡し、社内ネットワークにマルウェアを仕掛けるよう要求した。
  • 男の狙いは会社のシステムに侵入し、社内情報を窃取。オンライン上で盗んだデータを公開すると脅し身代金を要求するというもの。
  • 逮捕発表から2日後の報道を通じネバダ州の企業はテスラ社だったことが判明。Elon Musk氏も「深刻な攻撃だった」と記事に言及している。

知人つながりで犯人と一緒に旅行

  • 事件の発端は従業員Aが2016年からの共通の知人を通じ、男のWhatsAppの連絡先を教えてもらったことだった。
  • 男はロシアから米国へ渡航することを伝え、カリフォルニアからネバダまで車で駆けつけることも厭わないとして、従業員Aと一緒に旅先現地を回りたいと連絡してきた。(従業員Aは先約があるとして8月7日までを希望)
  • 実際、男と従業員A、他2名の計4人で小旅行に行っている。8月1日にはネバダシティ近郊のエメラルドプールズ、8月2日にはカリフォルニア州のレイクタホへ行っている。男は写真に一緒に写るのを嫌がっており、タホで撮影する際もポージングに抵抗があったという。(男はその後渋々撮影に合意している。)
  • 旅行に要した費用は全て男が支払っていた。旅行中のレンタカーも男が運転していた。ホテルのギャンブルで大金を手にした、得たお金でホストを賄いたいと話していたという。
  • 旅行後に男から従業員Aへ二人だけで会いたいと連絡。リノのレストランで食事をとり、その後バーに移動しラストオーダーまで飲み暮れていた。その後男から「ビジネス」について話し合いが持ちかけられた。

DDoS攻撃とマルウェアの二段階攻撃を計画

「ビジネス」として男が従業員Aに語った特別なプロジェクトとは次の内容だった。

  • 男は渡米した目的は従業員Aと接触するためだったと説明。
  • 従業員Aへマルウェアを提供し、社内に設置してもらう。マルウェアは社内システムから密かに情報を送信する機能がある。
  • マルウェアの存在から注意をそらすため、並行してDDoS攻撃を実行。(男はDDoS攻撃は犯行グループにとって成功だが、組織のセキュリティ担当者から見た場合失敗に見えると説明している。)
  • マルウェアを通じて窃取した社内データに対して公開すると脅迫し、400万ドル相当の身代金要求を行う。
  • 犯行グループ主犯は今回の行為を通じ、200万ドルを得ることを目的としていると男は語っている。
男からの様々な指示

複数回の接触の中で、男から様々な指示が従業員Aに対し行われている。

  • マルウェア感染したPCは6~8時間程度稼働させたままにしておくこと。またビットコインの送金が行われるまでは何も行動を起こすべきではないこと。
  • WhatsAppを通じて連絡を受けるまで提供した電話は飛行機モードにしておくこと。(男は従業員Aへ自身が手配した携帯電話、充電ケーブルを提供。)連絡アプリ使用後はメッセージを削除しておくこと。
  • コードネームを設定すること。(従業員Aは「DeadSpace22」を使用)
  • 従業員Aが何をもって作業完了とするのかとの問いに対し、犯行グループのメンバーは全てのファイルのダウンロードを行い、それから5日間待機する必要があるとした。
犯行に協力させるためゆさぶり

逮捕などへの不安を払しょくするため男から従業員Aに対し次のような情報も共有されていた。

  • マルウェアから従業員Aをたどることが出来ないようにする技術(暗号化)がある、心当たりのある人物がいれば矛先を向けられると発言。
  • 犯行グループが取り組んだ最も古い「特別なプロジェクト」は3年半前に行われたもの。同じ人物が継続して作業している。
  • 男は過去に標的となった被害企業リストを示し、今回同様に内部に協力した人間がいると紹介。
オーダーメイドのマルウェア

マルウェアの詳細は訴状に含まれていないため、具体的な種類は不明。

  • マルウェアは内部のネットワーク情報の提供を通じ特別に設定され、準備に10~12日を要する。かかる費用は25万ドル。従業員Aへはネットワークの認証情報や接続手順に関する情報提供が期待されていた。。
  • USBメモリや添付ファイル付きメールを通じマルウェアが渡される。提供方法は従業員Aに選択させる。
  • 犯行グループのあるメンバーは暗号化が専門だというが、今回のマルウェアにはそのような機能(暗号化をするランサムウエア)が含まれていたかは訴状からは確認できない。
  • DDoS攻撃への対策費用やマルウェア侵害による被害金額は5000ドル超となることが今回の訴状で見積もられている。
身元匿名化の細工
  • 携帯電話を従業員Aとの連絡用に調達している。現金で手配しており、男は「きれいな携帯電話」と呼称していた。
  • 匿名性確保のため、Tor Browserを通じてビットコインのウォレット設定を行う様従業員Aに対し助言している。8月19日夜の会合では、従業員Aの携帯電話を奪い、Torブラウザのインストールを行っていた。
  • 男は犯行グループとは暗号化メッセージングアプリのJabberを使って連絡を取っていた。

賄賂をめぐる生々しい交渉

男と従業員Aの間で賄賂交渉も行われた。結果、従業員Aへの賄賂は当初50万ドルだったが、100万ドルに増額されている。(この交渉がFBI指示によるものだったのかは不明。)

  • 男は報酬一部を前金として支払いする準備があり、暗号資産、保証金、キャッシュで支払えることを伝えていた。
  • 従業員Aが犯行に躊躇しているような様子を受け追加の支払いも打診。従業員Aは男へ作業に見合った増額を要求。男は従業員Aの心情を理解する一方、自分で決定する権限を持っておらず、犯行グループに伺いを立てると連絡。
  • 従業員Aは前金として5万ドルも要求。男は前向きに検討するとしたものの税関で持ち込める金銭は制限があり、所持していた資金は1万ドル。男は送金の方法を考えないといけないと述べていた。
  • 前金の支払いはこれまでやったことがなく犯行グループとして抵抗感があったという。最終的に犯行グループより8500ドルから11000ドル相当のビットコインを前金として支払うことに合意したと従業員Aに伝達している。オンラインのエスクロー口座のようなものを通じて入金されると説明。
  • 従業員Aへの賄賂増額により、男の報酬は50万ドルから25万ドルへ削減されてしまった。
  • 男はプロジェクト成功から賄賂の支払いまで10日程度時間を要すると説明。過去の支払いは全て現金で行われていたという。
  • 男は観光ビザが残っていることから次回渡米した際に支払ったビットコインのキャッシュ化を手伝うと申し出ていた。

複数の企業標的

  • 男によれば犯行グループは何度も攻撃に成功をしており、標的企業も複数。最も過去の攻撃は3年半前に行われたと紹介。男は個人的にもプロジェクトには2回かかわったことがあると説明。
  • 今回従業員Aへ訪れた際も2つのプロジェクトが同時進行していると話している。ある事例では600万ドルの要求に対し、最終的に400万ドルで決着をした。通常最初に要求された金額に対し少額で交渉されるケースが多く、全額支払いは1社のみだとしている。今回攻撃に遭った企業名は明らかにされていないが、CWT Travelが7月2日に450万ドルの身代金支払いに応じたと報じられており、関連を指摘する記事もある。
  • 従業員Aに協力を依頼していた攻撃プロジェクトは後半遅れが生じており、その理由が他プロジェクトが最終段階(多額の身代金の支払い)にあるためだった。

従業員Aの捜査協力

  • 従業員Aの詳細な情報は公開されていない。一部記事ではテスラ社のギガファクトリーに勤務するロシア語を使用する米国外の人物ではないかと推測している。
  • 従業員AがFBIへの協力を行った動機として、愛国心と組織への義務感であると訴状の注釈で説明されていた。また今回の協力に際し、対価の申し出も行っていないとされる。
  • FBIが物理的にも監視を行い始めたのは8月7日の男と従業員Aの密会から。(場所はガソリンスタンドの駐車場に止められたレンタカー車内。)
  • 従業員AはFBIへ電話の捜索を許可し、WhatsAppのスクリーンショットやメッセージ翻訳も提供している。

犯行グループ

男は従業員Aと接触を続ける中で、犯行グループに関与する人物2名の名前を挙げている。男を含め、今回名前が挙がった人物は3名。

EGOR IGOREVICH KRIUCHKOV 今回逮捕、起訴された男。従業員へ賄賂を渡しマルウェアを仕込むよう要求。
Sasha Skarobogatov 男が従業員Aとの密会中に個人用電話を使い呼び掛けた人物。男はこの人物に進捗状況等を報告していた。(従業員Aは画面をのぞき見して名前を確認)
Pasha 男とSkarobogatovの電話中、賄賂となる送金時期を確認した際に名前の挙がった人物。
  • 男は氏名不詳の人物(訴状ではLNUと表記)の人物に度々電話を行っている。
  • これ以外には名前は伏せられていたものの、ロシア政府系銀行の上級行員がいることも言及されている。

逮捕された男の顛末

日時 出来事
2020年7月16日(あるいはその前後) 男はWhatsAppを使い、従業員Aにアポイントメントの連絡を取った。
2020年7月28日 男がロシアからアメリカ(ニューヨーク州)へ入国。
2020年7月29日 男が連絡用に携帯電話を購入。
2020年7月30日 男が飛行機でサンフランシスコへ移動。
2020年7月31日 男はサンフランシスコ国際空港でレンタカーを借り、ネバダ州リノへ移動。ネバダ州スパークスでホテルを手配。
2020年8月1日、2日 男は従業員Aやその同僚と自宅、公共エリアで複数回接触。4人で旅行。
2020年8月2日 旅行後 男は従業員Aに二人きりの接触を打診。
2020年8月3日 夕方 男は従業員Aと直接接触し、「特別なプロジェクト」への参加を打診。
2020年8月7日 男が従業員Aと再び接触し、計画への参加を再度打診。
2020月8月16日 男がWhatsAppを使用し従業員Aとの会議を設定。
2020年8月17日 男は別の共犯者と連絡を取り、従業員Aに計画の追加情報を提供。
2020年8月18日 男と従業員Aとのミーティング。
2020年8月19日 男と従業員Aとのミーティング。別の共犯者と直接連絡を取ることを確認。
2020年8月20日朝 従業員Aから男にウォレット情報を提供する連絡。
2020年8月21日 男と従業員Aが車内で接触。翌日リノを発つこと、振り込みがされておらず計画が遅れていると連絡。
2020年8月22日 ロサンゼルスで男を逮捕。
2020年8月25日 米司法省が男の逮捕を発表。
  • 男が持っていたビザは観光(B1/B2)。2019年10月3日に発行され、2022年10月1日まで有効なもの。
  • 男が宿泊したホテルはWestern Village Inn & Casinoの226号室。予約は8月3日まで。265ドルでマスターカードで支払いを行っていた。
  • 男は2020年8月19日にレンタカーを返し、その後にロシアへ帰国を予定していたが、従業員Aとの接触を続けるため20日に変更している。

更新履歴

  • 2020年8月31日 AM 新規作成