FBIと米国政府のサイバーセキュリティ・インフラセキュリティ局は木曜日、クレムリンのハッカー集団が米国政府と航空業界のシステムを調査、あるいは侵入しているとの共同警告を発した。
共同勧告によると、エナジェティック・ベアなどの異名で知られるこのチームは、少なくとも2020年9月以降、米国の州、地方、領土、部族(SLTT)政府ネットワークや航空業界を特に狙っているという。伝えられている内容は以下の通りだ。
ロシアの狙いは、必要な内部情報やシステムへのアクセスを入手し、最終的に11月3日の米国選挙結果に対する市民の不安を煽り、不信感を募らせ、国民に選挙結果に疑問を抱かせることにあるようだ。米国当局が、選挙のニュースや結果については地方自治体や大手メディアなどの信頼できる情報源に頼るよう国民に促していることを考えると、モスクワがこれらの組織に干渉しようとする理由は容易に理解できる。投票インフラには影響がないと言われている。
「この攻撃者は、将来の妨害策を得るため、米国の政策や行動に影響を与えるため、あるいはSLTTの政府機関の正当性を失わせるためにアクセスを求めている可能性がある」と勧告は警告した。
最近の悪意ある活動はSLTT政府ネットワークを標的としているため、SLTT政府ネットワークに保存されている選挙情報に何らかのリスクが生じる可能性があります。しかしながら、FBIとCISAは、選挙データの完全性が侵害されたという証拠を現時点では入手していません。
米情報機関によると、イランがアメリカ民主党にトランプ支持の脅迫メールを送信、ロシアもすぐ後に続く
続きを読む
Energetic Bearが初めてセキュリティレーダーに表示されたのは2014年、エネルギー業界への攻撃で指摘され、2018年には米国で特に非難された。しかし現在、彼らは政府のネットワークや一部の航空施設を狙っており、その攻撃活動は2月にまで遡る可能性がある。
当局は、このグループがブルートフォース攻撃やSQLインジェクション攻撃を用いて公開サーバーを攻撃し、MicrosoftとCitrixの脆弱性を悪用することに特化しているようだと指摘している。勧告で言及されている脆弱性の多くは、今週初めにNSAが中国のハッカーによって悪用されているセキュリティホールに関する警告でも言及されており、まだパッチが適用されていない場合は早急にパッチを適用する必要がある。
ロシアのハッカーたちは、フィッシング攻撃の一環として、正規のアドレスを装ったウェブドメインも構築し、ネットワークへのアクセスを確保していた。ハッカーたちは「初期アクセスを確立するためにユーザーと管理者の認証情報を入手」し、「ネットワーク内部に侵入したら横方向の移動を行い、高価値資産を特定してデータを盗み出す」とされている。
勧告では、Energetic Bearチームが使用しているIPアドレスの全範囲が示されていますが、当局は、攻撃者はIPアドレスを頻繁に変更する可能性が高いと警告しています。それ以外のアドバイスは通常と同じです。すべてのパッチを適用し、多要素認証システムの設定、使用、および動作を確認し、不審なアクティビティに注意してください。®
