ロシア政府の支援を受けているハッカー集団は、互いにコードを共有することがめったになく、共有する場合も、たいていは同じ情報機関が管理するグループ間で行われるという。米国時間9月24日に発表された新たな共同報告書で明らかになった。
Check Point Software Technologiesとイスラエルのセキュリティ企業Intezerが共同で作成したこの報告書は、この分野で今までに類を見ないものだ。両社は、これまでにロシアが支援するハッカー集団に関連があるとされた2000近くのマルウェアサンプルを調べた。これらのマルウェアサンプルが互いにどのように関係しているかを知るためだ。
この調査で、2万2000のつながりとマルウェア間で共通する385万のコードが見つかったという。
また、この大規模な調査で、ロシアのAPT(Advanced Persistent Threat:政府の支援を受けたハッカー集団などによる高度で継続的な脅威を指す)は通常、互いにコードを共有していないケースが多いことが分かったようだ。
コードが共有されているまれな例では、同じ情報機関内でコードを再利用しており、対外サイバースパイ活動を担当するロシアの3つの主要な機関が、活動で協力関係にないことを示している。
報告書の所見から、ロシアのサイバー活動に関して、報道機関によるこれまでの調査だけでなく、米国外の情報機関による報告書の内容も裏付けられた。
これまでの報告書から、ロシアのサイバースパイ活動はいずれも、連邦保安庁(FSB)、対外情報庁(SVR)、連邦軍参謀本部情報総局(GRU)という3つの諜報機関が関与していることを突き止めることができた。これらの機関は互いに協力したり調整したりしていないことが明らかになっていたという。
提供:Estonian intelligence service
ロシア政府が、3つの機関の競争を促してきたとの見方もある。各機関はそれぞれ独立して活動し、資金をめぐって競い合っているようだ。中国や北朝鮮の政府が支援するハッカーの間で、ツールキットを他のハッカーと共有することはよく見受けられるが、ロシアのハッカー集団は、それぞれのグループがツールキットを開発し、外部に開示しないとみられる。
