イスラエルの医療期間を狙った攻撃は中国ハッカーの仕業なのか?

Suspected Chinese hackers behind attacks on ten Israeli hospitals

2021/10/18 BleepingComputer — イスラエルの Ministry of Health と National Cyber Directorate の共同発表によると、週末にランサムウェア攻撃が急増し、国内の9つの医療機関のシステムが狙われた。イスラエル政府は共同発表の中で、今回の試みは、国家レベルでの調整と現地 IT チームの迅速な対応により、病院や医療機関への被害はなかったと述べている。

両当局は、水曜日に発生した Hillel Yaffe Medical Center への攻撃の後から週末までの間に、すでに公開されている脆弱性の特定とセキュリティ確保のために、数多くの防御活動を医療分野に対して行ってきた。しかし、これらの活動は、顕在化したエンドポイントの脆弱性を保護するには不十分だったようであり、この週末に侵害された医療機関も見受けられた。

中国人ハッカーの仕業か?

地元メディアの報道によると、今回の攻撃は、今年8月に出現したランサムウェア DeepBlueMagic を用いる中国のグループによるものとされる。DeepBlueMagin は、通常はファイルの暗号化の試みを検出してブロックするセキュリティ・ソリューションを無効にし、攻撃を成功させることで知られている。BleepingComputer は、当局が共有した IOC をテストした結果、この脅威アクターは BestCrypt というハードドライブ暗号化ツールを用いて、各デバイスを暗号化していると判断した。

イスラエルの National Cyber Directorate は、この攻撃に関連すると見られるファイルハッシュの形をした、Indicator of compromise (IOC) を公開している。同機関は、イスラエルの医療組織が、以下の手順を実行することを提案している。

  1. CSV ファイルに含まれる IOC を確認し、自身の環境における観測の有無をチェックする。
  2. すべてのシステムのアクティブ・スキャンを実行し、各組織の AV/EDR ソリューションの中にファイル・ハッシュを取り込む。
  3. すべての VPN および電子メールサーバが、最新バージョンにアップグレードされていることを確認し、脅威アクターが内部ネットワーク・アクセスに利用できる脆弱性を解消する。
  4. それらのサーバーが最新でない場合は、更新を行い、また、全ユーザーのパスワードをリセットする。
  5. 企業ネットワークにおける異常なイベントの監視を強化する。
  6. 違反や異常な活動があった場合は、National Cyber Directorate に報告する。

    Hillel Yaffe の苦戦は続く

    その一方で、テルアビブ北部にある Hillel Yaffe Medical Center では、システムの復旧に苦戦しており、ペンと紙を使った患者の受信/検査の回覧が6日も続いている。
    数日後には、通常業務に戻れるという希望があるにしても、一部の医療記録が復元できないことが懸念されている。なぜなら、ランサムウェアの実行者がバックアップ・システムにアクセスし、サイバー攻撃などの緊急事態に備えて保存されていたコピーを、すべて消去したからだと言われている。

    Ministry of Health の Cybersecurity Chief である Reuven Eliyahu は、本日の声明の中で、この攻撃が中国のハッカーにより行われたことを認め、その動機を「純粋に金銭的なもの」と表現した。Eliyahu は Army Radio のインタビューで、「これはおそらく、他のグループから離脱して、8月に活動を開始した中国のハッカーグループだろう。攻撃の動機は、純粋に金銭的なものである」と述べている。しかし、サイバー・セキュリティ業界のある関係者は BleepingComputer に対し、中国への帰属は弱いと思われ、単なるポート・スキャンやネットワーク防御に対する探索だったのではないかと語っている。

    Hillel Yaffa Center は政府系の病院であるため、身代金の支払いについて、ハッカーとの交渉は行わないとのことだ。

中国系の脅威アクターの活動というと、政府に支援されるスパイ行為が大半であり、このように純粋に金銭を目的とするケースは、ちょっと稀なことだと思います。最近の関連トピックとしては、「中国の国家支援 APT41 グループ:高スティルス性マルウェアを大量に展開している」や、「中国ハッキング・グループの Rootkit は Windows 10 をターゲットにスパイ活動を行う」などがありました。よろしければ、合わせて ど〜ぞ。

%d bloggers like this: