Experts Discover Backdoor Deployed on the U.S. Federal Agency’s Network
2021/12/20 TheHackerNews — 国際的な権利に関連する米国連邦政府の委員会がバックドアの標的となり、古典的な APT 型の操作による内部ネットワーク侵害が生じたと、研究者たちが報告している。チェコのセキュリティ企業である Avast は、先週に発表したレポートの中で、「この攻撃は、ネットワークを完全に可視化し、システムの完全な制御を可能にした。したがって、対象となるネットワークあるいは、他のネットワークの深部に侵入するための、多段階攻撃の最初のステップとして使用することができた」と述べている。
この連邦政府機関の名称は公表されていないが、Ars Technica や The Record の報道によると、米国国際宗教自由委員会 (USCIRF: U.S. Commission on International Religious Freedom) との関連が指摘されている。Avast によると、この侵入に関する政府機関への通知の試みが失敗した後に、米国政府により設置された他のチャネルを通じて、調査結果を公開していると述べている。
現段階では、攻撃のパズルの一部だけが明らかになっているのみだ。しかし、ネットワークに侵入するために使用された、最初のアクセス・ベクターの性質や、侵入後に行為者が行った一連の行動、侵入自体の全体的な影響などの、多くの不明な点が残されている。
この攻撃は2段階に分けて行われ、2つの悪意のバイナリを展開することで、正体不明の敵がインターネット・トラフィックを傍受して任意のコードを実行し、オペレーターが感染したシステムを完全に制御することを可能にしている。そこでは、Windows 用の正規のパケット・キャプチャ・ユーティリティである、WinDivert を悪用して実現されている。
興味深いことに、一連のサンプルは、いずれも oci.dll という名前の Oracle ライブラリを装うだけではなく、攻撃中に展開された第2段階の復号化プログラムは、2018年に Trend Micro の研究者が詳細を明らかにした、別の実行ファイルと類似性があることが判明した。
この実行ファイルは、韓国の組織を狙った Operation Red Signature と名付けられた、情報窃盗主導のサプライチェーン攻撃を掘り下げたときに判明したものだ。この重複により、Avast Threat Intelligence Team は、一定の時間が経過した後に、攻撃者がソースコードにアクセスしたと推測している。
研究者たちは、「何らかの形で、データ収集やネットワーク・トラフィック流出が起こったと推定するのが妥当だが、それは情報に基づいた推測である。とはいえ、今回の攻撃の規模や範囲については、これまで見てきた以外に、正確に知る術はない」と述べている。
米国の政府組織への攻撃という意味では、11月5日の「米国の防衛関連企業である EWA の電子メールシステムがハッキングされた」や、11月13日の「FBI でメール・ハッキング:偽の緊急メッセージが配信された」、12月3日の「NSO Group が開発したスパイウェア:iPhone のハッキングと米高官に対する盗聴」などがあります。あらためて、この種のインシデントを眺めてみると、かなりの頻度で発生していることが分かりますね。
IoT OT Security News 