あるハッカーによる調査:簡単に侵入できるロシア政府組織のネットワーク

Hacker breaches key Russian ministry in blink of an eye

2022/03/16 SecurityAffairs — 匿名を望む Spielerkid89 は、組織に危害を加えるつもりはなく、システムに触れることもない。しかし、彼の実験は、サイバー・ハイジーン衛生が悪いと、サイバー攻撃に弱い組織になることを示す好例である。ロシアによる国家主導のサイバー攻撃は、クレムリンが敵とみなす何十万人もの人々を、水も電気も使えない状態に陥れるという、壊滅的な被害をもたらす。しかし、この超大国の不正なサイバー能力は、ウクライナにおける軍事的姿勢と同様に脆弱であり、反撃に遭った場合には、その弱さを示すことになる。

親ウクライナの活動家や IT Army は、ロシアにおける重要なサービスの停止や、反戦メッセージの傍受が、いかに簡単かをすでに実証している。ロシアがグローバルなインターネットから、自らを切り離す準備を進めているのも不思議ではない。主要な政府機関を主権的な Runet (連邦に限定された汎ロシア的な Web) に移行し、サイバー攻撃から逃れたいと願っているのだ。

ロシアの重要な省庁を探索するハッカー

ウクライナ侵攻に刺激された Spielerkid89 は、認証が無効になっているロシアの IP を探し出し、侵入の可能性について調査することにした。Shodan 検索エンジンを用いる Spielerkid89 は、認証が無効でオープンな Virtual Network Computing (VNC) ポートを容易に発見した。

VNC はデスクトップ共有システムであり、たとえば、自宅から職場のコンピュータへのリモート・アクセスや、サポート・スタッフへのリモート・アクセスに使用できる。理想的な VNC の用法は、システム管理者などの認証されたユーザーのみを範囲とすべきである。適切な審査を受けずにコンピュータにアクセスする人はいないだろうが、そこに見落とされがちなセキュリティの問題が存在する。

その結果として Spielerkid89 は、ロシアのオムスク地方にある保健省のコンピュータに接続できた。同省職員のデスクトップにリモート・アクセスするために、このハッカーはパスワードや認証を必要とせずに、開いている VNC ポートを介してそのコンピュータ上の、すべてのファイルと情報にアクセスきたのだ。彼は、「人々の名前や、ネットワーク上のコンピュータを指す複数の IP アドレス、財務文書などにもアクセスできた」と述べている。

Cybernews の調査チームは、このロシアの省庁のコンピュータに、Spielerkid89 がアクセスしたことを確認した。前述のように、彼は、この組織に危害を加える意図はなく、システムに触れることもなかった。

単純なミスが大きな影響を生じる

Spielerkid89 は、脅威アクターでもなければ、組織に危害を加えるわけでもなく、単に証拠としてスクリーン・ショットを数枚撮っただけだ。

Russian Ministry


しかし、彼の実験は、悪意のハッカーが簡単に組織に侵入できることを示している。認証が無効でオープンな VNC ポート経由で、組織のコンピュータにリモートアクセスすることで、機密ファイルのダウンロードや、ネットワーク内のコンピュータへのやスパイ活動、バックドア作成する設定、マルウェアのインストール、リモートアクセス・トロの木馬など、さまざまな攻撃な可能になる。

Spielerkid89 は、「基本的に、まったく自由なアクセスが可能であり、やりたいことは何でもできる」と説明している。彼は、認証が無効でオープンな VNC ポートは、一般的なサイバー・セキュリティにおける不正行為であると付け加えている。彼は、「これらのシステムにアクセスすることは、とても簡単だった。認証もせずに、そこに置くべきものではない。つまり、資産に対する重大なセキュリティ侵害である。本当に何も必要なかった」と述べている。

彼がオムスクの省庁に侵入し、盗み見るために使ったポートは、現在は閉鎖されている。しかし、依然として VNC と RDP が、組織に侵入するための主要な入口であることに変わりはない。情報セキュリティ企業の SecurityScorecard は、企業がランサムウェア攻撃の犠牲になる相対的な可能性を推定するマシン・ラーニング・モデルを開発した。

同社の VP of Cyber Threat Intelligence である Ryan Sherstobitoff によると、企業はリモートコードの実行を可能にする脆弱性により、こうした攻撃を最も受けやすくなる。彼は Cybernews に対して、「最も一般的なのは RDP と VNC であり、それらの認証情報はダークウェブで、アクセス・ブローカーにより販売されるため、ランサムウェアの攻撃者による侵入が容易になる」と述べている。

Original post at https://cybernews.com/cyber-war/hacker-breaches-key-russian-ministry-in-blink-of-an-eye/

この匿名ハッカー Spielerkid89 が行っていることは、ロシアへの忠告とも取れますし、ウクライナの IT Army などへの支援とも受け取れます。その一方で、リシアにおけるサイバー防御という視点に立つと、その要となる FSB と SVR に問題が生じていると、指摘するメディアも出てきているようです。よろしければ、FSB で検索、および、SVR で検索なども、ご利用ください。→ Ukraine まとめページ

%d bloggers like this: