国家の意を受けているとみられるハッカー集団がSolarWindsのソフトウェア「Orion」のアップデートをトロイの木馬化し、世界各地の企業や政府のネットワークを攻撃している問題で、複数のセキュリティ研究者や研究チームが、この攻撃によって内部システムが「SUNBURST」マルウェアに感染した可能性がある100~280に上る組織のリストをこの週末に公開した。
提供:NASA
このリストには、IT企業、地方自治体、大学、病院、銀行、通信プロバイダーが含まれる。大企業としては、Cisco、SAP、Intelなどの名前が挙がっている。
先週Microsoft、FireEye、McAfee、Symantec、Kaspersky、米サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA)が発表した、感染したシステムに関する詳しい調査レポートによると、マルウェアは感染した企業のネットワークに関する情報を収集し、12~14日待機した後、データをリモートのコマンド&コントロール(C&C)サーバーに送信していたという。
提供:Microsoft
ロシア政府の支援を受けていると考えられているハッカー集団は、受信したデータを分析し、自分たちの情報収集目的にかなうネットワークにのみ、さらに激しい攻撃を仕掛けたとみられる。
SolarWindsは先週、ハッキング被害の事実を認め、同社が行った遠隔測定から判断して、SUNBURSTマルウェアを仕掛けられたOrionプラットフォームのバージョンをダウンロードしていたのは、同社の30万の顧客中、約1万8000に上ると述べている。
By decoding the #DGA domain names, we discovered nearly a hundred domains suspected to be attacked by #UNC2452 #SolarWinds, including universities, governments and high tech companies such as @Intel and @Cisco. Visit our github project to get the script.https://t.co/jsnOldynCV pic.twitter.com/40VfXuR6JI
— RedDrip Team (@RedDrip7) December 16, 2020
The #DGA decoding of #SolarWinds attack point toward certain companies (NOT saying they were hacked, but references) LukOil, Deloitte, Hewlett Foundation @Hewlett_Found, KC Power and Light @evergypower@NERC_Official #SUNBURST #UNC2452
— Dewan Chowdhury (@dewan202) December 18, 2020
More References:https://t.co/kIfaBueu4B
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。