世界的なランサムウェア被害を引き起こしたサイバー犯罪グループ「Trickbot」に加担した疑いで自称プログラマーが逮捕

アメリカ司法省は、プログラマーを自称する55歳のラトビア国籍のアラ・ウィッテ被告を起訴したと発表しました。ウィッテ被告は国際的なサイバー犯罪グループの一員で、「Trickbot」と呼ばれるマルウェアを数百万台に感染させたとみられています。

Latvian National Charged for Alleged Role in Transnational Cybercrime Organization | OPA | Department of Justice
https://www.justice.gov/opa/pr/latvian-national-charged-alleged-role-transnational-cybercrime-organization

Case 1:21-mj-02236-AOR Document 1 Entered on FLSD Docket 02/08/2021
(PDFファイル)https://www.justice.gov/opa/press-release/file/1401766/download

How Does One Get Hired by a Top Cybercrime Gang? – Krebs on Security
https://krebsonsecurity.com/2021/06/how-does-one-get-hired-by-a-top-cybercrime-gang/

Trickbotはトロイの木馬型のマルウェアの名前であり、世界的に名高いボットネットを運営するグループ名でもあります。Trickbotのマルウェアは、銀行の口座情報やメールアカウント、ネットワークの情報を盗み取り、感染したシステムにバックドアをインストールしてボットネットの一部とします。

ランサムウェアをインストールするためのマルウェアとして、Trickbotは世界中ですでに100万台以上のコンピューターやIoT機器に感染しており、2020年にはアメリカ大統領選に向けて、Microsoftが中心となって本格的なTrickbot運用阻止プロジェクトが推し進められていました。

Microsoftが大統領選に向けて悪名高いマルウェア「TrickBot」の運用阻止に乗り出す - GIGAZINE

ウィッテ被告はブラジルの北にあるスリナム在住で、何かの用事でアメリカ・フロリダに到着したタイミングで逮捕されました。

起訴状によれば、ウィッテ被告は感染したコンピューターやボットの状態を赤・黄・青で表示するコードを提供し、共犯者がマシンの感染状態を知ることができるようにした疑いがあります。また、被害者の銀行口座からお金を盗み出し、マネーロンダリングネットワークへ送金もしていたそうです。

以下の画像に写っているのがウィッテ被告。

捜査チームはTrickbotにつながる糸口を求めて、ロシアとベラルーシを拠点とする有料の求人サイトを定期的に巡回し、求職中のプログラマーの履歴書をチェックしていました。Trickbotグループは求職中のプログラマーに接触し、問題解決能力やコーディングスキルをテストするためにさまざまなプログラムの作成を依頼していたとのこと。

実際にTrickbotの関係者によってインスタントメッセージでやり取りされた会話のログが以下。このログでは、求職者は雇い主がサイバー犯罪グループであることをすぐに理解している様子がうかがえます。ウィッテ被告も求人サイトを通じてTrickbotとつながり、2018年から2020年までのおよそ2年間にわたってTrickbotとやりとりしていたと司法省はみています。

司法省は「Trickbotの採用モデルで、犯罪者は才能のある開発者を安価かつ密かに採用することができます。しかし、それは捜査官がグループに潜入する方法を提供するものであり、場合によっては共謀者が特定されるというリスクが伴います」と述べています

また、2020年時点で、ウィッテ被告は「allawitte.nl」という自分の本名を使ったドメインで、Trickbotで使われるランサムウェアやマルウェアをホストしていたとのこと。さらにウィッテ被告は自身の近親者のファーストネームである「マックス」をハンドルネームに使っていることを、自身のソーシャルメディアアカウントで明らかにしていたことがわかっています。

通常、犯罪に加担するハッカーが自分の身の回りの情報をオンラインに明かすことはないため、セキュリティ研究者のブライアン・クレブス氏は、ウィッテ被告自身が公開していた情報から逮捕につながった可能性も指摘しています。

司法省によると、ウィッテ被告はコンピュータ詐欺および個人情報窃盗の共謀罪1件、金融機関に影響を与える通信傍受および銀行詐欺の共謀罪1件、金融機関に影響を与える銀行詐欺の共謀罪8件、個人情報窃盗の共謀罪8件、マネーロンダリングの共謀罪1件で起訴されたとのこと。全ての罪状で有罪判決を受けた場合、ウィッテ被告には最低でも30年の懲役が科されることとなる模様です。