APAC のデータセンターが標的：新たなサイバー攻撃の証拠が発見された

Resecurity warns about cyber-attacks on data center service providers

2023/02/21 SecurityAffairs — カリフォルニアに拠点を置くサイバー・セキュリティ企業の Resecurity は、複数のデータセンターに対して、それらの組織と顧客を標的としたサイバー攻撃に関する警告を。 2021年9月から発してきたことを公表した。同社は最新のレポートで、通知の対象とされた組織は、サプライチェーンの重要な部分として機能しており、国家支援 APT／犯罪者／サイバー・スパイグループなどの格好のターゲットだと述べている。この、Resecurity による通知の詳細は、さらなる分析とリスク軽減のために、影響を受けた当事者および、中国／シンガポール政府の緊急対応チームと共有された。さらに、2022年と 2023年1月にアップデートされた同通知は、発見されたデータセットに Fortune 500 の大企業が多数存在していたことから、米国の法執行機関とも共有された。

これらの組織の中には、Resecurity の顧客もいるとのことで、キャンペーンの最も早い段階で通知されたという。その多くは、自社のサプライチェーンに対する重大なリスクであると理解して、さらなるインシデント対応を開始したという。

CNCERT/CC に報告されたケースの１つでは、他のアプリケーションやシステムと統合された、脆弱なヘルプデスク・モジュール経由で、イニシャル・アクセスが取得されたと見られている。これは、観測された事例の１つであり、横方向の動きを実行する可能性があるとされる。結果的に、データセンター環境を監視するために使用されると思われる、ビデオストリーム識別子と関連する CCTV カメラのリストや、データセンターの IT スタッフ／顧客の認証情報などを、この脅威アクターは抽出したようだ。

顧客の認証情報を取得した脅威アクターは、データセンターでのオペレーションを管理する顧客企業の、代表者／購入サービスリスト／導入機器などの情報を収集するために、顧客パネルに対してアクティブな探索を実行した。また、この脅威アクターは、特定されたキャンペーンの初期段階において、クライアントの確認に使用されると思われる、携帯電話と ID カードの番号を収集していた。

被害を受けた組織は、2023年1月24日頃に CNCERT と連絡を取った後に、パスワードを変更するよう顧客に対して通達した。また、同じキャンペーンの２つめの事例において、この脅威アクターは、APAC で大きなシェアを持つ別のデータセンター組織から、同様の記録を流出させた。

2023年1月に Resecurity は、Human Intelligence (HUMINT) を通じて、10社の組織の顧客ポータル (その一部はインドを拠点とする) への、不正アクセスの試みを確認できる情報を入手した。

注目すべきは、観察された顧客ポータルには、Remote Hands Service (RHS)／Access Permission／Material Movement といった、データセンター組織に固有の機能が含まれていたことだ。このインシデントに関する情報は、CNCERT/CC および SingCERT (Singapore Computer Emergency Response Team) に加えて、法執行機関と共有されている。

Resecurity は、これらのクレデンシャルの出所に関するフィードバックを収集するために、複数の関係者 (保護下にあるクライアントとパートナー組織) に連絡を取った。いくつかの関係先では、それらの認証情報が IT スタッフたちにより利用されていた。また、そのデータセンターは、地域における災害復旧やアクティブなオペレーションのために使用されていたことも確認された。

2023年1月28日に、この脅威アクターは、IAB (Initial Access Brokers) やランサムウェア・グループが頻繁に利用するダークウェブで、盗んだデータを公開して販売しようとした。この出来事の背景には、１つ目の事例にあるように、データセンター組織による予期せぬ強制的なパスワード変更があったと思われる。

このキャンペーンの第３弾は、キャリア・ニュートラルなデータセンターと Software Defined データ・センターのオペレーションを行う、米国に拠点を置く企業に関するものだった。この企業は、以前に影響を受けた海外のデータセンターの顧客だった。この事例に関する情報は、前述の２つの事例と比べるとまだ限られているが、いくつかの証拠となる情報を、Resecurity は取得した。

2023年2月20日に脅威アクターは、地下フォーラム Breached で、盗まれたデータの一部を公開した。流出したデータセットで確認された大半の組織は、米国／英国／カナダ／オーストラリア／ニュージーランド／シンガポール／中国などの本社から、グローバルに事業を展開する、金融機関 (FI) ／投資ファンド／生物医学研究企業／テクノロジーベンダー／eコマース／オンライン・マーケットプレイス／クラウドサービス／ISP／CDN プロバイダーに関連していた。

今回の調査で確認されたキャンペーンに対抗するには、世界の各地域に拠点を置くデータセンターが相互接続しているため、積極的な国際協力と脅威情報の共有が重要となる。データセンター組織を標的とする攻撃が発見されたことは、サプライチェーンのサイバー・セキュリティの文脈で語る上で、重要な前例となるだろう。今後において、データセンターと顧客を標的とする悪意のサイバー活動が増加すると、Resecurity は予測している。

セキュリティ担当者は、OT／IT サプライチェーンのサイバー・セキュリティから、このような攻撃ベクターを低減するための、適切な対策を講じる必要がある。また、顧客のアカウント／データに関連するセキュリティ・インデントについては、当事者との間で透明性のあるコミュニケーションをとることが重要だ。

ついに、データセンターのオペレーションまでも、驚異アクターたちの標的となったようです。エネルギー／水道／交通／通信などと同様に、データセンターは現代における社会インフラの１つです。それだけに、とても心配です。文中に、「顧客ポータルには、Remote Hands Service (RHS)／Access Permission／Material Movement といった、データセンター組織に固有の機能」と書かれていますが、どのようなものなのか、興味津々です。なお、原文には、Breached フォーラムに関するリンクがありましたが、ここには載せませんでした。