ウクライナのハッカー、ロシアの航空宇宙・防衛産業を標的に広範なサイバー攻撃
セキュリティ企業Intrinsecの新たな脅威インテリジェンスレポートによると、複数のウクライナのハクティビストグループが、2025年6月から9月にかけて、ロシアの重要な航空宇宙および防衛産業に対して大規模なスピアフィッシングキャンペーンを展開しました。この攻撃は、ロシアの軍事能力と民間航空運航を混乱させることを目的とした、エスカレートするサイバー戦争戦略の一環と見られています。
攻撃の概要と実行者
この協調的なキャンペーンには、Head Mare、Hive0117、そして新たに特定されたCavalry Werewolfグループといった、ウクライナと連携する複数の侵入グループが関与しています。彼らは、ロシアの軍事作戦を直接支援する制裁対象のロシア企業を侵害するため、高度な戦術を用いています。
攻撃者は、侵害したロシア企業のメールサーバーを悪用し、悪意のある添付ファイルや認証情報窃取ページを含む、標的型スピアフィッシングメールを送信。これらのページは、IPFS、Vercel、Cloudflare、Contaboなどの正当なクラウドインフラプラットフォーム上にホストされていました。また、一部のキャンペーンでは、PhantomRemoteやDarkWatchmanなどのカスタムマルウェアファミリーが展開されました。
主な被害と標的企業
既に、多くの企業が甚大な被害を受けています。
- 2025年7月:親ウクライナ派のハッカーが、ロシアの国営航空会社アエロフロートに対する大規模な攻撃の責任を主張。約7,000台のサーバーがワイプされ、20テラバイトのデータが盗まれ、50便以上の往復便がキャンセルされました。
- 同年9月:サンクトペテルブルクのプルコヴォ空港と地域航空会社KrasAviaが協調攻撃を受け、旅客サービスが混乱し、運航は手動操作への切り替えを余儀なくされました。
地理的および業種的な標的の範囲は戦略的です。被害には以下の企業が含まれます。
- Dinamika-Avia:ロシアの戦闘機およびドローン用のシミュレーターと訓練ソフトウェアを提供。
- Bureau 1440:ロシアの鉄道および航空機にインターネット接続を提供する衛星通信会社。
- Rostvertol:ロシア軍が使用するMiシリーズ航空機を製造するヘリコプターメーカー。
- Kvant JSC:ウクライナで積極的に展開されているKrasukha-4およびRtut-BMシステムを含む電子戦システムを製造。
- その他、Rostvert、KORSAR、RN-MORSKOY (Rosneft)など。
攻撃の巧妙さと背景
これらの攻撃の技術的な洗練度は多岐にわたります。一部のキャンペーンでは多段階のキルチェーンを通じてカスタムマルウェアが展開される一方で、より単純な認証情報窃取を目的としたフィッシングページも利用されました。攻撃者は、正当な企業ログインポータルを模倣した認証情報窃取ページを、正規のインフラにホストすることで、企業のネットワーク防御を回避しようとしています。
Intrinsecは、複数の侵入グループがウクライナと連携して活動しており、ウクライナの軍事情報総局GURや国防情報機関を含むウクライナの情報機関からの黙認、あるいは間接的な協力がある可能性が高いと評価しています。
影響と対策
これらの攻撃のタイミングと連携は、単なる日和見的なハクティビズム以上のものを物語っています。ロシアの航空宇宙セクターへの侵害が成功すれば、民間航空能力と軍事効率の両方を深刻に低下させる可能性があります。この産業は、長距離攻撃と持続的な戦争に不可欠な航空機、ドローン、ミサイルの生産および保守パイプラインを維持することで、ロシアの軍事作戦を直接支えているためです。
セキュリティ専門家は、ロシアの防衛関連企業と取引のある組織に対し、以下の対策を講じるよう強く促しています。
- 多要素認証(MFA)の導入。
- 高度な電子メールセキュリティゲートウェイの利用。
- 従業員のセキュリティ意識向上トレーニングの強化。
- これらのキャンペーンに関連するコマンド&コントロールサーバーへの不正な外部接続を特定するための継続的なネットワーク監視。