米企業、ランサムウェアや 国家ぐるみのハッカー集団に ホスティングサービスを提供したとして訴えられる

サイバー企業Halcyon、Cloudzy社が長年にわたり中国、イラン、北朝鮮などのハッカー集団を支援してきたと主張

米国に拠点を置くと見られる仮想サーバー会社が、10以上のランサムウェアや国家ぐるみのハッカー集団にインフラをホスティングしていたとして告発されました。

ロイター通信が最初に報じたところによると、テキサス州に拠点を置くHalcyon社の研究者らは、Cloudzyという会社がサーバースペースをリースし、中国、ロシア、イラン、北朝鮮、インド、パキスタン、ベトナムの17以上の国家ぐるみのハッカー集団に転売していたと証言しています。

Halcyonは、報告書『Cloudzy with a Chance of Ransomware』の中で、ランサムウェアのサプライチェーンの新たな一翼を担う存在として、Cloudzy社を合法的なビジネス・プロフィールを装いながら攻撃者にサービスを提供するCommand-and-Control Providers（C2P ）と位置付けています。C2Pは、サイバー犯罪、特に他国を標的にした犯罪に寛大な司法管轄区でホスティングを提供する防弾ホスティングサービスの代替となる可能性があります。

「リモート・デスクトップ・プロトコル（RDP）仮想専用サーバー（VPS）サービスの匿名利用と引き換えに仮想通貨を受け取るCloudzyは、ランサムウェア攻撃やその他のサイバー犯罪を支援する一般的なサービス・プロバイダーであるようだ」とサイバーセキュリティ企業は述べています。

2008年に設立されたCloudzyは、米国、英国、ドイツ、オランダ、シンガポールの施設を含む世界15のデータセンターからサービスを提供していると報じられています。

Halcyonは、”数年にわたり、20以上の異なる脅威アクターによってCloudzyのサーバーが一貫して使用または悪用されているパターンが確認された “と述べています。

Cloudzyのインフラストラクチャを使用していることが判明した脅威アクターには、イスラエルの商用スパイウェアベンダーであるCandiru、イランの国家関連グループであるOilrig/APT34およびElfin/APT33、北朝鮮に関連するCagey Chameleon/BlueNorofおよびKimsuky、ロシアに関連するNobelium/APT29およびTurla、中国に関連するAPT10および複数のランサムウェアグループが含まれると報告されています。

Halcyonはまた、Cloudzy（以前はRouter Hostingとして知られていた）は米国で法人化されているものの、イランのテヘランで運営されているabrNOCという別のインターネット・ホスティング会社の隠れ蓑であることは「ほぼ間違いない」と指摘し、米国の制裁に違反している可能性があるとしています。

ロイターの取材に対し、CloudzyのCEOであるHannan Nozari氏は、Halcyonの評価に対し異論を唱え、Halcyonが40～60％と見積もっているのに対し、同社のクライアントのうち悪意のあるクライアントはわずか2％と見積もっており、責任を負うことはできないと述べています。

「もしあなたがナイフ工場だとしたら、誰かがナイフを悪用した場合、あなたは責任を負えますか？私はそのような犯罪者を憎んでいますし、彼らを排除するために全力を尽くしています」と同氏は語っています。

Nozari 氏は、CloudzyとabrNOCは別会社であるとしながらも、abrNOCの従業員がCloudzyの業務を手伝っていたことは認めています。

「我々は、Cloud Peak LawやARINを含め、C2P Cloudzy / Router Hostingと意図的であろうとなかろうとビジネスを行っているすべての米国の事業体や人々は、その会社と関係を持ち続けることの潜在的な法的影響を考慮するために一旦立ち止まることを推奨する」とHalcyonは述べています。

2021年、世界中の標的を攻撃するイランのマルウェアキャンペーンがオランダのデータセンターでホスティングされていたことが報じられました。スパイウェアFoudreのC2サーバーがオランダでBitDefenderによって発見さ れました。このサーバーは、ハールレムにあるEvoswitch社のAMS1アムステルダムデータセンターからサービスを提供しているアメリカのホスティング会社Monstermeg社が設置していたものでした。

この記事は海外Data Centre Dynamics発の記事をData Center Cafeが日本向けに抄訳したものです。