ロシアの国家支援型ハッカー Nobelium:米国サプライチェーンへの侵入を継続

Nobelium – Long Term Threat Activity

2021/11/22 CyberSecurityIntelligence — ロシアの国家に支援される脅威アクターである Nobelium が、新たなターゲットを選んでいる。Nobelium は、2020年にSolarWinds の顧客に対して行われた、広範囲におよぶサイバー攻撃の実行者と考えられており、ロシアの対外情報機関である SVR の一部であると、米国政府などは特定している。グローバルな IT サプライチェーンに不可欠とされる組織を、Nobelium は過去の攻撃と同じ手法で標的にしている。

今回は、サプライチェーンの別のパートが攻撃されている。クラウド・サービスなどのテクノロジーを、顧客に代わってカスタマイズ/ディプロイ/マネージする、再販業者などがターゲットにされている。 Microsoft の研究者たちが New York Times に語ったところによると、再販業者が顧客の IT システムに付与することが多い、ダイレクトなアクセス特権を利用するのが、Nobelium の手口のようだ。つまり、ハッカーたちは、ユーザー組織が信頼するテクノロジー・パートナーになりすまして、下流の顧客にアクセスしている。

Microsoft の研究者たちは、2021年5月の時点で、この最新キャンペーンに気づき、リスクがあると思われる人々に通知するとともに、再販業者向けの新しい技術支援とガイダンスを作成してきた。5月以降に Nobelium の標的となった、140社以上の再販業者やサービス・プロバイダーには、すでに通知が行われている。Microsoft によると、「引き続き調査を行っているが、現在のところ、これらの再販業者やサービス・プロバイダーのうち、危険にさらされているのは、14社に達すると考えている」と述べている。

Microsoft は、Nobelium キャンペーンを、初期段階で発見することが重要だとしている。また、クラウド・サービスの再販業者/テクノロジー・プロバイダーユーザー企業が、Nobelium を撃退するための迅速な行動を取るために、一連の動向に関する情報を共有している。

一連の攻撃は、今年の Nobelium における、大きな活動の波である。今年の 7月〜10月に、Microsoft が 609社の顧客に伝えたのは、成功率は極めて低いが、22,868回もの Nobelium 攻撃が発生しているという現実である。なお、今年の7月以前のデータとしては、国家に支援される脅威アクターからの攻撃回数は、これまでの3年間で 20,500回だという。

ロシアが米国産業のサプライチェーンに関心を示し、さまざまなポイントに長期的かつ組織的にアクセスし、ロシア政府のターゲットを監視し、将来的に破壊するためのメカニズムを確立しようとしていることが、これらの動向から明確に示されている。

Nobelium で検索してみたら、「Nobelium ハッキンググループが Microsoft Customer Support に不正アクセス」、「Microsoft レポート:米政府を狙うハッカーの 53% はロシア由来」、「Microsoft 警告:クラウドなどを標的としたパスワード・スプレー攻撃が増加」などが、ズラズラと出てきました。ロシア由来のランサムウェア・ギャングというと、Conti/Revil/BlackMatter などが頭に浮かびますが、それらと SVR をつなぐのも、Nobelium の役割なのかもしれませんね。

%d bloggers like this: