KillNet Group Uses DDoS Attacks Against Azure-Based Healthcare Apps
2023/03/20 InfoSecurity — KillNet として知られるロシア系のハクティビスト・グループが、Microsoft Azure にホストされているヘルスケア・アプリを標的としていることが、3ヶ月以上も前から確認されている。Microsoft は、金曜日に公開されたアドバイザリで、この新しいキャンペーンの詳細を公開した。Azure Network Security Team によると、2022年11月には1日あたり 10~20回、2023年2月には1日あたり 40~60回の攻撃が確認されたという。
Microsoft の技術文書には、「同時期の攻撃統計を解析したところ、医療機関への DDoS 攻撃は、それほど高いスループットを示していないことが確認された。5M PPS (Packets Per Second) に達する攻撃もいくつかあったが、大半の攻撃は 2M PPS 以下だった。これらの攻撃は、極端に高いものではないが、ネットワーク・セキュリティ・サービスにより Web サイトが保護されていない場合には、サイトがダウンする可能性がある」と記載されている。
また、layer 3/layer 4/layer 7 などへの、さまざまなマルチ・ベクター DDoS 攻撃も観測されている。
同社のアドバイザリには、「2022年の DDoS 攻撃全体の傾向として、TCP が最も一般的な攻撃ベクターであった。それとは対照的に、ヘルスケアに対する攻撃の 53%が UDP フラッドであり、TCP は 44% だった。つまり、ヘルスケアに対して、撃退者が用いる攻撃パターンは、異なるものになっている」と記されている。
KillNet が攻撃対象とした医療機関について、製薬/ライフ・サイエンス (31%) が主な標的であり、病院 (26%) 、医療保険/医療サービス/介護 (各16%) と続くと、Microsoft は述べている。地理的には、大半の KillNet 攻撃は、米国/ロシア/ウクライナから行われたものだったという。
Microsoft は、「Azure DDoS Network Protection/Web Application Firewall サービスに登録している顧客について、これらの攻撃は正常に回避された」と述べている。
同時に、Azure Network Security Team は、Web サイトやアプリが適切に保護されていない場合には、DDoS スクリプト/ストレッサー/ボットネット/なりすまし攻撃ソースなどが実施され、KillNet による破壊は容易になるだろうと警告している。
KillNet ハクティビストが、米国とオランダの複数の病院の Web サイトを標的にして、ダウンさせたという報告があった。その数カ月後に、今回の Microsoft アドバイザリは発表されている。
先日に、Killnet のプロキシ IP リストを公開され、攻撃力が低下したと思われる Killnet ですが、いまは Azure 上の医療関係を狙っているとのことです。ハクティビスト集団の活動としては、ちょっと首を傾げたくなります。かなりのリソースが損傷したと考えると、辻褄の合う話かもしれません。
2023/02/09:Killnet の Proxy IP リストを公開
2022/10/10:KillNet :米国の主要空港 Web サイトがダウン
2022/09/07:日本政府の Web サイトが攻撃される
2022/08/13:Lockheed Martin への不正侵入を主張
IoT OT Security News 
You must be logged in to post a comment.