ロシアのハッカーは世界中の政府や組織、エネルギー企業を標的とする攻撃を続けているとみられている。そうした中、ロシアによるサイバー攻撃では、新しい手法も利用されているようだ。また、最近では、「Microsoft Exchange Server」のゼロデイなどの脆弱性が悪用された。
米国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁(CISA)、米連邦捜査局(FBI)、国家安全保障局(NSA)、英国国家サイバーセキュリティセンター(NCSC)による共同勧告は、ロシア対外情報庁(SVR)が使用している新しいTTP(戦術、手法、手順)について、組織に警告することを目的としている。サイバーセキュリティ研究者はSVRと関連するハッカーを「APT29」や「Cozy Bear」「The Dukes」といった名称で呼ぶこともある。
米英のサイバーセキュリティ機関は4月、SolarWinds製品に対する攻撃や新型コロナウイルスのワクチン開発組織を標的とする複数のキャンペーンにSVRが関与していると明らかにした。
共同勧告では、「SVRは、洗練された技術と高度な能力を持つサイバーアクターだ。英国、米国、欧州、北大西洋条約機構(NATO)加盟国、ロシアの近隣諸国を含む世界中の組織を標的にする能力を身につけている」と説明されている。
また、これまでにNCSCやNSA、CISAらが発したサイバー脅威に関する警告を受け、対策を整えた企業もあることなどから、ロシアのサイバー攻撃者はTTPを変化させ、ネットワークを保護者によるさらなる検知や対策を回避しようとしていると警告している。
このロシアの攻撃者が変化させた新しい攻撃手法には、オープンソースツール「Sliver」の導入などがある。侵害されたネットワークへのアクセスを維持し、さまざまな脆弱性を悪用する手段として使用するとみられる。また、このグループは複数の脆弱性を悪用しており、最近では、広く報告された「Microsoft Exchange」の脆弱性も対象となった。
Sliverは、オープンソースのレッドチーム用ツールだ。つまり、ペネトレーションテストのテスターがネットワークセキュリティを合法的にテストする際に使用するツールだ。しかし、SVRは「WellMess」や「WellMail」で侵害されたネットワークへのアクセスを確保する目的でSliverを悪用した可能性があるという。
共同勧告では、SVRが悪用した脆弱性について、以下の通り挙げている。このリストは必ずしも完全なものではないとしている。
- CVE-2018-13379 FortiGate
- CVE-2019-1653 Ciscoルーター
- CVE-2019-2725 Oracle WebLogic Server
- CVE-2019-9670 Zimbra
- CVE-2019-11510 Pulse Secure
- CVE-2019-19781 Citrix
- CVE-2019-7609 Kibana
- CVE-2020-4006 VMWare
- CVE-2020-5902 F5 Big-IP
- CVE-2020-14882 Oracle WebLogic
- CVE-2021-21972 VMWare vSphere
また、攻撃者はネットワークの情報とアクセスを得るために、管理者のメールボックスを標的とする場合もあるという。標的のネットワークに関する理解を深め、さらなる権限や認証情報を取得して、永続性を維持したり、「ラテラルムーブメント」を行ったりするための動きである可能性がある。
それでも共同勧告で提示されている緩和策には、「基本的なサイバーセキュリティの原則に従うことで、高度なアクターが標的とするネットワークに侵害することを難しくする」と書かれている。
ガイダンスとして、セキュリティパッチを迅速に適用し、サイバー攻撃者(サイバー犯罪者や国家を後ろ盾とする攻撃者)がネットワークへの侵入や永続性維持の手段として既知の脆弱性を悪用できないようにすることなどが挙げられている。また、多要素認証を利用し、パスワードが侵害された場合にネットワークを攻撃から保護することも提案されている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。