AusCERT 2011年3月、北京の支援を受けていると疑われるハッキング部隊がセキュリティ大手RSAに侵入し、同社のSecureID製品を破壊し、米国最大の防衛請負業者ロッキード・マーティンをハッキングすることに成功した。
この攻撃はビル・デュアン氏にストレスと疲労をもたらしました。デュアン氏はSecureIDトークンの共同開発者であり、物静かな暗号学者です。攻撃が明らかになると、彼は自宅を離れ、RSAオフィスの向かいにあるホテルに移り住み、後に中国のエリートハッカー部隊との個人的な戦いに挑みました。
この長時間の作業が必要だったのは、この侵入事件が歴史上最も重大なものの一つだったからだ。人民解放軍(PLA)第61398部隊、あるいは諜報業界ではビザンチン・キャンダー、コメント・クルー、APT1として知られるハッカー部隊は、上海郊外の古びた建物を拠点に活動し、高度なセキュリティを誇る米国企業の強奪に長けていた。
ハッキングチームは、ハッキングされたシステムへのアクセスの維持、横方向の移動、および膨大なデータセットの特定と抽出を担当する部門を含む正式な部門に分割されました。
Duane は、SecureID の共同開発者として、侵害対応において中心的な役割を果たしました。
「これほど懸命に、これほどのストレスと、これほどのリスクを負って働いたことはかつてなかった」とデュアン氏はゴールドコーストで開催されたAusCERTのセキュリティ会議で語った。
「ある時期、私は毎日18~20時間働き、職場の向かいのホテルで数時間寝ていました。
「少し恥ずかしいのですが、私を突き動かしていた最大の要因は、顧客や株価ではなく、私が失敗すれば同僚たちが失業し、彼らの食卓に食べ物がなくなり、子どもたちが学校に通えなくなるのではないかという思いでした。」
ビル・デュアン。写真:ダレン・パウリ、The Register紙。
中国のハッカーたちはデュアンの関与を知り、彼を標的にし始めた。この著名なエンジニアは、40年以上にわたるテクノロジー業界でのキャリアを持ちながら、オンラインでの存在感がほとんどなく、Googleに写真が登録されておらず、ソーシャルメディアのアカウントも持っていなかったにもかかわらず、彼らは攻撃を仕掛けたのだ。
「私の行動に気づいた彼らは、ネットブックにマルウェア攻撃を仕掛け、私を個人的に攻撃してきたんです」と彼は言う。「レーダーに引っかかり、(匿名性は)完全に破壊されてしまったんです」
同氏によると、人民解放軍のハッキング部隊は、不定期に指揮統制信号を送り、慎重に横方向に移動するステルス状態から、発見されたことに気づいた後に「強奪」状態に切り替えたという。
「これまでまったく理解していなかった高度なサイバー攻撃の領域が開かれた」と彼は語る。
セキュリティのプロは、熱心に耳を傾けるAusCERTの聴衆に、内部ネットワークを「汚い」ものとして扱うこと、そしてスタッフやパートナーの生活を楽にするあらゆる努力は、攻撃者の仕事をも簡単にすることを考慮することを促した。
「いかなる組織もこれらの攻撃者に対する防御力を発揮することはできない」と彼は言う。
セキュリティ管理者は、管理者の資格情報をメモリから抜き出すことができる危険な Pass the Hash 攻撃についても理解し、その危険性を軽減する必要があります。®
