SolarWinds を侵害した脅威アクター:UNC2652 と UNC3004 は活動を継続している?

SolarWinds hackers kept busy in the year since the seminal hack, Mandiant finds

2021/12/06 CyberScoop — SolarWinds サプライチェーン侵害に関連したハッカーたちは、この攻撃が明らかになってから1年の間に、ロシアの関心を示すデータを盗み出した。そして、さらに被害者を増やすルートを見つけることを目的に、複数のクラウド・ソリューション企業を侵害していたことが、新たな調査で明らかになった。

月曜日に Mandiant のアナリストチームが発表した調査結果によると、これまでの観察や分析に加えて、何百人ものコンサルタント/アナリスト/リバース・エンジニアたちの努力により、ロシア情報機関のハッキング・グループ Nobelium と並行して、あるいはその内部で、異なるグループが活動していた可能性があることが判明した。このグループは、Cozy Bear としても知られている。

2019年1月の時点で侵入されていた、連邦政府の請負業者である SolarWinds へのハッキングについて、米政府はロシア政府を正式に非難している。SolarWinds は、財務省/国土安全保障省/司法省を含む9つの政府機関と、100社以上の民間企業を侵害する経路を提供してしまった。サイバー・セキュリティ企業の FireEye (現在は Mandiant) は、2020年12月にこの攻撃を明らかにし、その後の数カ月間においては、連邦政府のサイバー・セキュリティの脆弱な状態に対応せざるを得なくなった。

さまざまな攻撃者がネットワークに侵入しているという情報に基づき、調査員はたちは、ロシアの侵入活動が疑われる複数のクラスターを追跡した。その結果として、2つの異なるグループが存在することが判明した。1つ目の UNC2652 は、外交機関を対象としたフィッシング・メールを送信していた。2つ目の UNC3004 は、無名の Cloud Service Provider (CSP) と Managed Service Provider (MSP) へのアクセスを通じて、政府機関と民間企業への侵入を目的としていた。

Mandiant の研究員は、今回の調査で観測された活動について、「一流の運用セキュリティと高度な技術を実践する、これまでに遭遇した中で最もタフな脅威アクターによるものだ。このハッカーたちの活動は、第三者や信頼できるベンダーとの関係を活用して、悪事を働くことの有効性を浮き彫りにしている」と述べている。

この調査で指摘されたのは、CSP が侵害され、攻撃者に特権的なアクセスと認証情報が与えられたことで、下流の顧客が侵害されたという、複数の事例の存在である。ある事例では、第三者が盗み出したセッション・トークンを攻撃者が使用して、特定の Microsoft 365 環境を標的にしていたことを示す証拠が発見された。また、ブローカーが販売しているレジデンス IP アドレスを利用して、被害者と同じ国からログインしているように見せかける事例もあった。

研究者たちは、「これらの戦術は、攻撃者の操作の複雑さを示しており、他の脅威アクターが実行することは、めったに見られない。これが実施されると、通常のユーザーと脅威アクターのアクティビティを、捜査官が区別することが非常に困難になる可能性がある」と述べている。

また、Mandiant の研究者たちは、特定の環境内で複数のユーザー・アカウントを侵害し、それらを別々の機能に使用しようとする試みも確認している。たとえば、1つのアカウントを偵察に使用し、他のアカウントをデータ窃取などの活動に使用するといった具合である。これまでにも、このような規律あるアプローチが、Mandiant の研究者により確認されている。

研究者たちは、「このような侵入行為は、十分なリソースを持ち、運用上のセキュリティに関心を持つ、脅威アクターたちの姿を反映している。この活動を決定づけるための、十分な観測データは得られていないが、運用上のセキュリティ手法と第三者の利用に関しては、SolarWinds ハッカーが採用した戦術と一致している」と述べている。

Nobelium もしくは Cozy Bear と指摘されていますが、このグループあの動きは、とても活発です。10月の「Microsoft 警告:クラウドなどを標的としたパスワード・スプレー攻撃が増加」と、「Microsoft 警告: Nobelium による新たなサプライチェーン攻撃が発見された」、そして、12月の「Nobelium の最新マルウェア Ceeloader は高スティルス性で CSP と MSP を狙う」というふうに、このグループを追跡する記事がポストされています。よろしければ、ご参照ください。

%d bloggers like this: