カスペルスキー研究所は、SolarWinds のハッカーはロシアの FSB 安全保障局と関連のある Turla マルウェア グループから来た可能性があると見ている。
ソーラーウィンズのオリオン製品に密かに埋め込まれたバックドアについて、カスペルスキーのゲオルギー・クチェリン氏は月曜日のブログ投稿で次のように述べた。「サンバーストのバックドアを調べていたところ、以前から特定されているカズアーと呼ばれるバックドアと重複するいくつかの特徴を発見しました。」
ロシア企業である Kaspersky 社は、Kazuar のリモート アクセス ホール (.NET の脆弱性) を Palo Alto Networks 社の以前の調査と関連付け、この脆弱性をロシア政府が支援する Turla 攻撃グループが仕掛けたものだと主張しました。この攻撃グループは、最後にアルメニア政府とオーストリア外務省を標的にしていたことが確認されています。
「KazuarとSunburstは関連している可能性はありますが、その関係の本質はまだ明らかではありません」とKasperskyはまとめています。「さらなる分析により、これらの点のうち1つ、あるいは複数を裏付ける証拠が見つかる可能性があります。同時に、Sunburstの開発者は運用セキュリティに非常に優れており、ミスを犯しておらず、この関連性は巧妙に仕組まれた偽旗作戦である可能性もあります。」
ああ、まさにその時:ハッカー攻撃を受けたSolarWindsが怒った株主に訴えられる
続きを読む
パロアルトのUnit 42研究部門は昨年夏、Turlaに関する調査結果を発表し、次のように述べています。「Kazuarツールは、世界中の大使館、防衛関連企業、教育機関、研究機関に侵入したと報告されているTurla脅威アクターグループ(UroburosおよびSnakeとしても知られる)に関連している可能性があると疑っています。」
これら二つの断片を合わせると、ロシア政府とSolarWindsへの侵入に成功したハッカーとの間に、さらに強いつながりがあることが示唆されます。SolarWindsはこの問題を深刻に受け止め、米国の情報セキュリティのベテランであるクリス・クレブス氏(元サイバーセキュリティ・インフラ庁長官)とアレックス・スタモス氏が経営するコンサルティング会社を雇用しました。スタモス氏はYahoo!とFacebookでの経歴を持つ人物です。
「これは世界でも最も優秀で、最も洗練された諜報活動の一つによる数年にわたる取り組みだ」とクレブス氏はフィナンシャル・タイムズに語った。
SolarWindsの侵害は、SolarWindsの顧客である情報セキュリティ大手FireEyeが、自社のシステムが「国家支援の攻撃」によって不法にアクセスされたことを認めた後、2020年12月に世間の注目を集めました。®
一方、 CrowdStrike は、Orion が隠されたバックドアに感染したと推測される経緯を詳しく説明しました。高度にカスタマイズされたマルウェアによって侵害されたビルド サーバー上でソフトウェアがビルドされていたときに、適切なタイミングでソース ファイルが自動的に入れ替わったとのことです。
