ダークウェブで売りに出される各国通信事業者へのアクセス

カテゴリ

記事一覧  サイバーセキュリティニュース  脅威インテリジェンス  セキュリティ対策 

タグ

脅威インテリジェンス  サイバー犯罪  Cognyte  サイバー攻撃・ハッキング  ダークウェブ 

Algar Telecomと中国移動通信

2022年12月29日、「xhinz」と名乗る脅威アクターがロシア語サイバー犯罪・ハッキングフォーラムにおいて、ブラジルの通信事業者Algar Telecomのシステムに対するアクセス情報を販売開始しました。
このアクセス情報は、xhinzの説明によればWindows OSのローカルシステムアカウント（NT AUTHORITY\SYSTEM）と、データベースアクセス用の認証情報であるとのことです。

Algar Telecomへのアクセスを販売する脅威アクター　出典：Luminar

「xhinz」は2022年12月31日にもフォーラムに新規投稿を行いました。この投稿では、中国最大の通信事業者である中国移動通信のサーバーにアクセスするための認証情報を提供すると謳っています。

中国移動通信へのアクセスを販売する脅威アクター　出典：Luminar

「xhinz」は比較的最近に活動が観測されており、複数のダークウェブフォーラムにおいてアクセス権の販売活動を行っています。
なお「Xhinz」は、Chinainb0xというアカウント名で、Telegramでも活動しています。

Altice Portugal

2023年1月2日、「shadowhacker」と名乗る脅威アクターが、各国政府機関および企業のEメールへのアクセス情報を売りに出しました。この脅威アクターが提示したのは以下のリストです。

• Altice Portugal（ポルトガルの最大手通信事業者）
• フランス国防省
• ベトナム農業農村開発銀行（通称「アグリバンク」、ベトナム最大の商業銀行）
• バングラデシュ陸軍

各メール認証情報は50ドル相当、全てパッケージで150ドルで売り出されています。

shadowhackerによる政府・企業のクレデンシャル販売投稿　出典：Luminar

「shadowhacker」はロシア出身と推測される非常に活発な脅威アクターであり、Telegramで購入サポートを行っている他、「Sikinawnaw」という別アカウントを用いてロシア語ダークウェブフォーラムでも販売活動を行っています。
この脅威アクターは、これまでにウガンダ教育省のデータベースや、カザフスタン銀行、アルゼンチン政府の機密情報データベースおよびメールボックス、ヒュンダイ社のデータベースなどに対するクレデンシャルを販売しています。

その他の通信事業者

2023年1月20日、KelvinSecurityが通信事業者のITシステムに対するアクセス情報の販売をアナウンスしました。
標的にされたのは、ルクセンブルクを拠点とする通信事業者Millicom International Cellular SAです。Millicomは、Tigoというブランドネームで中南米を中心に高いシェアを持つグローバル企業です。
アクセス情報を売りに出された企業リストは以下のとおりです。

• Tigoホンジュラス
• Tigoコロンビア
• Claroコロンビア
• Millicomセネガル
• Tigoグアテマラ
• Tigoパナマ
• Tigoパラグアイ
• Tigoボリビア
• Tigoタンザニア
• Airtel Lanka
• ファーウェイ・ラテンアメリカ（Huawei Latam）
• Millicomガーナ
• Millicomタンザニア
• Tchad
• Nokia
• OnMobile
• Vodafoneニュージーランド

KelvinSecurityは、掲載された企業のメールシステム、IT監視サポートシステム、VPNパスワード等に関する情報を提供すると書き込んでいます。

KelvinSecurityによるアクセス情報の販売　出典：Luminar

KelvinSecurityは2016年から活動する、「情報ハッカー企業」を自称する脅威アクターであり、サイバー犯罪者やハッカーの間では非常に有名な存在です。
一部の研究者は、KelvinSecurityがロシアのハッキング組織ではないかと推測していました。しかし2022年2月、脅威アクター自身が、「メンバーはロシア、中国、韓国、ラテンアメリカ諸国、合衆国など多国籍である」との声明を公開しました。
KelvinSecurityはTwitter、Telegramに加え、YouTubeにもアカウントを保有しています。
2022年からは、流出データやクレデンシャルの売買に使われるハッキングフォーラムBreachedを主体に活動しており、様々な政府機関や企業の流出データを公開しています。

最後に

脅威アクターが販売するアクセス情報は、しばしば次のような手段で入手されています。

• データベースサーバー・ソフトウェアの脆弱性
• リモート接続サービスの脆弱性
• 流出した資格情報の購入・再利用

Cognyteは、組織をサイバー犯罪活動から守るため、以下の対策をとることを推奨します。

• データベースサーバーやセキュリティ製品を最新の状態にアップデートする
• 重要なシステム、アプリケーションに対して多要素認証等を導入し、アクセス管理を強化する
• 各システムにおける特権ユーザーの数を最小限とする
  
  

記事に関するご意見・お問い合わせはこちらへお寄せください。
(ＳＯＭＰＯホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)