米国の核兵器機関が、ロシアのスパイとみられる人物らによってハッキングされ、ソーラーウィンズのIT監視ソフトウェアにバックドアを仕掛けて複数の米国政府機関に侵入した。また、マイクロソフトも同様のサイバー攻撃に巻き込まれたと木曜日に報じられた。
Windows の巨人である同社は、SolarWinds のネットワーク管理スイート Orion を使用しているが、そのダウンロードは今年初めに密かにトロイの木馬化され、米国政府の国務省、財務省、国土安全保障省、商務省などの特定のターゲット内にインストールされると、悪意のあるコードの首謀者が被害者のネットワークに侵入し、コマンドを実行したり、電子メールを読んだり、データを盗んだりすることができた。
ロイター通信は、マイクロソフトのセキュリティも同じグループによって「侵害」されたと述べ、これはオリオンか他の手段によって達成されたと示唆し、クレムリンのAPT29、別名コージーベアチームと思われるハッカーたちがさまざまな組織に侵入する複数の方法を見つけたと国土安全保障省が警告したことを指摘した。
マイクロソフトの広報担当副社長フランク・ショー氏は、レドモンドに本社を置く巨大企業がSolarWindsのユーザーであり、汚染されたOrionのアップデートをインストールしていたことを認めたが、ロシアの諜報機関とみられる人物が本番システムや顧客データにアクセスしたという証拠は見つかっていないと述べた。また、広報担当責任者は、マイクロソフトのプラットフォームが自社の顧客をハッキングするために乗っ取られたというニュースワイヤーの主張を否定した。
弊社の環境で悪質なSolarWindsバイナリが検出され、隔離して削除しました。
「他のSolarWindsのお客様と同様に、当社もこの攻撃者の痕跡を積極的に探しており、当社の環境内で悪意のあるSolarWindsのバイナリを検出し、隔離・削除したことを確認できます」とショー氏は声明で述べた。「本番環境のサービスや顧客データへのアクセスの証拠は見つかりませんでした。現在も継続中の調査では、当社のシステムが他者への攻撃に利用された兆候は全く見つかっていません。」
El Regは、これが本番環境ではないサービス(社内開発・テストネットワーク、バックオフィスなど)が攻撃者によってアクセスされていないことを意味することを期待している。また、証拠がないからといって、ハッカーが痕跡を単に削除したり、そもそも痕跡を残さなかったわけではない。言い換えれば、この公式声明の趣旨は、バックドアを仕込んだOrionアップデートがインストールされたこと、そして重大な事態は何も起こらなかったことのみを示している。一方、声明文の文言は、侵入の範囲と被害についてかなり曖昧なままにしている。
ちなみに、ロイターの情報筋の一人によると、ハッカーらは「マイクロソフトの企業インフラを回避しながら、マイクロソフトのクラウド サービスを利用した」とのことだ。
一方、マイクロソフトのブラッド・スミス社長は、汚染されたオリオンのアップデート以外にも「攻撃者がより正確に標的とし、追加の高度な手段で侵入したことを40社以上の顧客に特定し、通知するために今週作業を進めている」と述べた。
核兵器への転換
一方、ポリティコは、米国の核兵器備蓄を監督する米国エネルギー省の国家核安全保障局が、オリオン・バックドア経由でハッキングされたと報じました。伝えられるところによると、不審なネットワーク活動は、連邦エネルギー規制委員会(FERC)、ニューメキシコ州とワシントンD.C.にあるサンディア国立研究所とロスアラモス国立研究所、原子力庁の安全輸送局、そしてエネルギー省リッチランド現地事務所で確認されたとのことです。
エネルギー省の広報担当者は、「現時点での調査により、マルウェアはビジネスネットワークのみに限定されており、国家核安全保障局を含む同省の任務に不可欠な国家安全保障機能には影響を及ぼしていないことが判明している」と述べた。
The Interceptによると、木曜日にはテキサス州オースティン市がロシアのハッカーとみられる攻撃を受けたことが明らかになった。これは興味深いニュースで、オラクルやHPEといったテクノロジー企業が最近、本社をテキサス州に移転すると発表した。
SolarWindsのOrionソフトウェアは、米国および英国の政府機関からフォーチュン500企業まで、少なくとも30万人の顧客に利用されています。約1万8000人の顧客が悪意を持って改ざんされたアップデートをダウンロード・インストールしたとされており、今回のハッキング攻撃はあらゆる階層の人々に影響を及ぼす可能性があり、膨大な情報、電子メール、その他のデータが、いわゆるモスクワに渡される可能性があります。
キルスイッチが作動しました
何らかの手段で(再びロシアとされる)ハッキングを受けたOrionの失態を調査してきたFireEyeは、情報セキュリティ大手のFireEyeがGoDaddyおよびMicrosoftと協力し、Orionのアップデートに潜入したバックドア内のリモートキルスイッチを有効化したと報告した。Microsoftの活動に詳しい情報筋もこれを裏付けている。
基本的に、バックドア版のネットワーク監視ソフトウェアが実行されると、ハードコードされたドメイン「avsvmcloud[.]com」のIPアドレスが参照されると言われています。その結果に応じて、FireEyeが「SUNBURST」と名付けたバックドアマルウェアが無効化されます。そこで、Microsoftがこのドメイン名を管理し、DNS大手GoDaddyの協力を得て、この技術系3社は、.comがコードを無効化するIPアドレスに解決されるようにすることで、マルウェアを駆除しました。これはWannaCryのキルスイッチに似ています。
「FireEyeによるSUNBURSTの分析の一環として、SUNBURSTの動作を阻止するキルスイッチを特定しました」と、FireEyeの広報担当者はThe Registerに語った。「マルウェアがavsvmcloud[.]comを解決した際に返されるIPアドレスに応じて、特定の条件下でマルウェアは自己終了し、それ以上の実行を阻止します。FireEyeはGoDaddyおよびMicrosoftと協力し、SUNBURSTの感染を無効化しました。」
このキルスイッチは、avsvmcloud[.]comへのビーコン送信を継続しているSUNBURSTの展開を無効にすることで、新規および既存のSUNBURST感染に影響を与えます。しかし、FireEyeが確認した侵入事例では、この攻撃者はSUNBURSTバックドアを超えて被害者ネットワークにアクセスするための追加の永続的なメカニズムを迅速に構築していました。このキルスイッチは、攻撃者が既に他のバックドアを構築している被害者ネットワークから攻撃者を排除するものではありません。ただし、攻撃者が以前に配布したSUNBURSTのバージョンを利用することをより困難にします。
したがって、トロイの木馬化されたOrionをインストールしてしまった場合、キルスイッチがオンになっていることを確認した上で、正常なバージョンにアップデートしたからといって、これで終わりだと決めつけてはいけません。ロシアの犯罪者と思われる人物によって埋め込まれた追加感染やバックドアがないか、ネットワーク全体を徹底的に調査する必要があります。そういえば…
撤去して交換する時が来た
米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)は木曜日、今年APT29とみられる組織が米国のサーバーを乗っ取ったのはSolarWindsだけではないとして警告を発し、少なくとも3月から続いている攻撃で複数の侵入(一部は執拗)を検知したが、そのすべてがSolarWindsに関係しているわけではないと述べた。
SolarWindsの株価が22%下落。一体これは何だ?ハッキング発表直前に2億8600万ドルもの株式売却?
続きを読む
「この敵対者は、ソフトウェアのサプライチェーンを悪用する能力を示しており、Windowsネットワークに関する深い知識を示している」と警告している[PDF]。
攻撃者は、まだ発見されていない追加の初期アクセスベクトルや戦術、技術、手順(TTP)を有している可能性があります。CISAは、新たな情報が入手され次第、このアラートと関連する侵害指標(IOC)を継続的に更新していきます。
SolarWindの災害に関して、CISAは管理者に対し、ネットワーク侵入の主な手段であった不正なセキュリティアサーションマークアップ言語(SAML)トークンへの警戒を強めるよう推奨しています。通常の1時間ではなく最大24時間有効となる長期間有効なトークンは特に危険であり、作成後すぐに使用されたトークンも同様です。疑わしい場合は、IDシステム全体を削除して置き換えることをお勧めします。
「個々の問題、システム、サーバー、または特定のユーザーアカウントを単に軽減するだけでは、攻撃者がネットワークから排除される可能性は低い」と勧告には記されている。
このような場合、組織はアイデンティティ・トラスト・ストア全体が侵害されたと見なすべきです。アイデンティティが完全に侵害された場合、修復を成功させるには、アイデンティティとトラスト・サービスの完全な再構築が必要です。この再構築において、この脅威アクターは最も有能なアクターの1つであり、多くの場合、環境を完全に再構築することが最も安全な対策であることを改めて強調しておきます。
NSA は、SAML トークンと Microsoft Azure ベースの認証に関しても同様のアドバイスをここで発行しています。®
