サイバー防衛サミット セキュリティがほとんどない無名のカジノが、新たなハッキング集団の襲撃を受け、15万枚のクレジットカードを盗まれた。
マンディアントとファイア・アイの研究員エマニュエル・ジャン=ジョルジュとバリー・ベンゲリックは、ハッキング集団「Fin5」が昨年、組織の「フラット」なITアーキテクチャをすり抜けて、オープンな決済システムを襲撃したと述べている。
カジノ側は、決済プラットフォームの周囲に基本的なファイアウォールさえ存在せず、ログも記録されていなかったと主張している。
「非常にフラットなネットワークで、ドメインは単一で、決済システムへのアクセス制御も非常に限られていた」とエマニュエル・ジャン=ジョルジュ氏は本日ワシントンDCで開催されたサイバー防衛サミット(旧称ミルコン)で語った。
「このカジノホテル運営会社が、PCI(決済)システムへのアクセスを制限するためのデフォルトで拒否システムを備えたファイアウォールなど、最低限の、あるいは基本的な保護対策さえ講じていれば、攻撃者の攻撃速度を遅らせ、警告を発することができただろう。」
同氏はザ・レグ紙に対し、自社がクレジットカード情報を盗む攻撃者の被害を受けた企業12社を調査しており、さらに6社がハッキングを受けた可能性があると考えていると語った。
ベンゲリック氏は、攻撃者は少なくとも2つの決済システムプロバイダーを攻撃し、カジノを含むその顧客を狙っていると述べた。
この事件は、企業にとって、第三者組織による企業ネットワークへのアクセスを保護するよう警告するものであるべきだと彼は言う。
攻撃グループは、窃取した認証情報を用いて組織を標的とし、初期侵入時にフラグが作動しないようにします。その後、攻撃者はActive Directoryを標的にし、より多くの認証情報へのアクセスと横方向の移動を狙っています。
「これは典型的な横方向の妥協だ」とベンゲリック氏は言う。
攻撃ツールのフローチャート。
コンサルタントによると、Fin5 は持続性を維持するために、コード名 Tornhull という珍しいバックドアと Flipside という VPN を使用しているという。
このVPNは、Mandiantより先に呼び出されたライバルのインシデント対応会社による最初の検知では見逃されていました。攻撃者はVPNが生き残っていることに気づき、昨年末の年末に再び侵入してクレジットカード情報をさらに流出させました。
「Driftwood」というコードネームが付けられた別の Fin5 カスタム ツールは、FiendCry および XOR ツールによって作成されたクレジットカード データ ダンプの指定された場所を解析し、後で収集できるようにエンコードします。
このツールは「信じられないほどよくコメントされている」という点でユニークであり、商用ソフトウェアに見られるコメントのレベルに匹敵するとベンゲリック氏は語る。
エマニュエル・ジャン=ジョルジュ氏(左)とバリー・ヴェンゲリック氏。
Fin5 は、他の指定された FIN 攻撃グループとは関係がなく、残っているマルウェアやツールをすべて削除し、発見された疑いがある場合はログを消去します。
Mandiant は、システムがどのように標的にされたかを把握するためにAppCompatCacheを利用しました。
カジノは現在、多数の変更の一環として、2 要素認証、アプリケーションのホワイトリスト化、ログ記録の強化を実装しています。®
Darren Pauli 氏は、FireEye のゲストとしてワシントン DC を訪れました。
