Autodesk もロシアン SolarWinds ハッカーに狙われていた

Autodesk reveals it was targeted by Russian SolarWinds hackers

2021/09/02 BleepingComputer — Autodesk だが、同社のサーバーの1つが Sunburst マルウェアによりバックドアを作られたことを発見し約9ヶ月後に、大規模な SolarWinds Orion サプライチェーン攻撃の背後にいる、ロシアの国家支援ハッカーからも狙われていたことを認めた。米国のソフトウェア/サービス企業である SolarWinds は、デザイン/エンジニアリング/建設などの分野の顧客に、CAD (computer-aided design)/Drafting/3D Modeling などのツールを提供している。

Autodesk は、「最近の 10-Q SEC ファイリングで、SolarWinds サーバーが危険にさらされていることを確認し、事件を封じ込め、修復するための措置を速やかにとった。この攻撃の結果として、顧客の業務が Autodesk 製品により中断されることはなかったと捉えているが、他の類似した攻撃がシステムに大きな悪影響をおよぼす可能性がある」と述べている。Autodesk の広報担当者が BleepingComputer に語ったところによると、攻撃者は Sunburst バックドア以外のマルウェアをディプロイしなかった。

つまり、第二段階の悪用に選ばれなかったとも考えられるし、検出前に脅威アクターが迅速に行動しなかったとも考えられる。Autodesk は、「12月13日に危険な SolarWinds サーバを特定した。その直後に、対象となるサーバーを隔離し、フォレンジック分析のためにログを収集し、ソフトウェア・パッチを適用した。Autodesk のセキュリティ・チームは、ソフトウェアのインストール状態を確認したが、悪意のある活動は観察されたいため、調査を終了した」と述べている。

大規模なハッキングで多くのハイテク企業が侵入された

SolarWinds のインフラに侵入するきっかけとなったサプライチェーン攻撃は、ロシア対外情報庁のハッキング部門 (通称:APT29 / The Dukes / Cozy Bear) によりコーディネートされた。攻撃者は、同社の社内システムにアクセスした後に、Orion Software Platform のソースコードと、2020年3月〜2020年6月の間にリリースされたビルドを、トロイの木馬化した。

これらの悪意のビルドは、後に Sunburst として追跡されたバックドアを、18,000 ほど配信するために使用されたが、幸運なことに、脅威アクターが第2段階の悪用のために選んだターゲットは、それほど多くなかった。このサプライチェーン攻撃の直接的な結果として、ロシアの国家支援ハッカーは、米国の連邦政府機関および民間ハイテク企業などの、ネットワークにアクセスできるようになった。

この攻撃が公開される前に SolarWinds は、425社以上の US Fortune 500 企業および、米国通信会社 Top-10を含む、全世界で 30万社の顧客を抱えていると発表していた[12]。同社の顧客リストには、政府機関 (米軍/米国防総省/国務省/NASA/NSA/郵政公社/NOAA/米司法省/米大統領府) などの長いリストも含まれていた。2021年7月末には米国政府機関 である司法省が、SolarWinds ハッキングの際に、27の米国弁護士事務所が侵入されたことを公表した。2021年3月に SolarWinds は、一連のサプライチェーン攻撃への対処/修復/調査などの費用として、$3.5 million を計上している。

この SolarWinds に関する、この種の報道は、まだまだ続くのでしょう。サプライチェーンへの攻撃が成功してしまうと、その後処理が延々と続くことになります。それが証明されてしまいましたね。この Autodesk の件は、ソフトウェア・サプライチェーンの問題ですが、もっと広い意味でサプライチェーンというものを俯瞰して確認するのも良いでしょう。この「サプライチェーン・セキュリティ:見た目ほど簡単ではない」という記事は、とてもお薦めです。

API と セキュリティ:新たな頭痛のタネと処方箋
ゼロトラストを API セキュリティに適用するには
API セキュリティのためのベスト・プラクティスを策定する

%d bloggers like this: