マルウェア、コード名「SUNBURST(別名Solorigate)」によるサイバー攻撃
不正大統領選挙で揺れに揺れている米国で、SolarWinds Orion Platformの更新を悪用した「トロイの木馬」型の大規模なサイバー攻撃を、米政府機関や企業が2020年の春頃からの受けていたことが判明したと報じられている。
この攻撃で使用されたマルウェア(コード名「SUNBURST(別名Solorigate)」)は、トロイの木馬化されたOrionアプリケーションのアップデートを介してSolarWindsの顧客に配布されたものだったそうだ。
■CISAが緊急警報を発令
「全政府請負業者に告ぐ。今すぐSolarWinds Orionの接続か電源を切れ」
といった内容の緊急指令21-01が12月13日の日曜夜、米国土安全保障省サイバーセキュリティ・インフラセキュリティ庁(CISA) から出された。当然ながら12月14日月曜にはSolarWinds株が急降下。
SolarWinds社(テキサス州オースティン)の「Orion Platform」は、全米上位500社に挙げられる「フォーチュン500」の内の425社と政府諸機関が利用する定番のネットワーク監視&管理ソフトウェアなのだそうだ。
このシステムのアップデートが18,000の企業や政府機関に配布されていたが、これにトロイの木馬を仕込んで不正侵入し、2週間の潜伏期間を置いて内部のデータを見放題とするといった攻撃が2020年の春ごろから盛大に仕掛けられていたことが判明したと報じられている。
国際通信社Reutersは12月11日金曜、米財務省と商務省が被害に遭ったと報じ、国家安全保障会議(NSC)が週末返上でホワイトハウスで緊急対策会議を開き、13日日曜日の夜の緊急指令発動となった、という経緯だった。
攻撃の影響をうけるバージョンは以下の通りで、SolarWindsは、対策として Orion Platformのバージョン 2019.4 HF 6 や 2020.2.1 HF 1 へのアップデートを推奨している。
- Orion Platform 2019.4 HF 5
- Orion Platform 2020.2
- Orion Platform 2020.2 HF 1
同社は 2020年12月15日(米国時間)に追加のHotfix リリースである2020.2.1 HF 2 をリリースし、2020.2.1 HF 2 は、侵害されたコンポーネントの置き換えや追加のセキュリティ強化を提供する計画だという。
参考:
12月16日には、ラトクリフ長官はFBI長官、CISA長官と共に以下のような共同声明を発表。
ODNIニュースリリースNo.44-202020年12月16日連邦捜査局(FBI)、サイバーセキュリティおよびインフラストラクチャセキュリティエージェンシー(CISA)、および国家情報長官(ODNI)による共同声明過去数日の間に、FBI、CISA、およびODNIは、重要で進行中のサイバーセキュリティキャンペーンに気づきました。大統領政策指令(PPD)41に従い、FBI、CISA、およびODNIは、この重大なサイバー事件に対する政府全体の対応を調整するために、サイバー統一調整グループ(UCG)を結成しました。UCGは、これらの機関が個別の責任に焦点を合わせているため、これらの機関の個々の取り組みを統合することを目的としています。これは発展途上の状況であり、このキャンペーンの全容を理解するために引き続き努力していますが、この妥協が連邦政府内のネットワークに影響を及ぼしていることはわかっています。FBIは、脅威対応のリードとして、責任のある脅威アクターを特定、追跡及び混乱させるために、インテリジェンスを調査及び収集しています。FBIは、既知および疑わしい被害者と関わりを持っており、FBIの取り組みを通じて得られた情報は、ネットワークの擁護者に指標を提供し、政府のパートナーに情報を提供して、さらなる行動を可能にします。資産対応活動の主導者として、CISAは即座に行動を起こし、影響を受けたSolarWindsOrion製品(注)をネットワークから直ちに切断または電源オフするよう連邦民間機関に指示する緊急指令を発行しました。CISAは、政府、民間部門、および国際的なパートナーと定期的に連絡を取り、要求に応じて技術支援を提供し、影響を受けた人々がこの事件から迅速に回復するのに役立つ必要な情報とリソースを利用できるようにします。CISAは、重要なインフラストラクチャコミュニティ全体の公的および民間の利害関係者と協力して、彼らの露出を確実に理解し、侵害を特定して軽減するための措置を講じています。インテリジェンスサポートおよび関連する活動のリーダーとして、ODNIは、この取り組みをサポートし、米国政府全体で情報を共有するために、インテリジェンスコミュニティのすべての関連リソースのマーシャリングを支援しています。この声明に記載されている情報に関連する疑わしいまたは犯罪行為を報告するには、最寄りのFBIフィールドオフィス(www.fbi.gov/contact-us/field)に連絡してください。この声明に関連するインシデント対応リソースまたは技術支援を要求するには、https://www.us-cert.gov/reportにアクセスするか、Central @ cisa.govに電子メールを送信してください。
引用元:
■Microsoft社の分析は2番目の攻撃者を示唆
SolarWindsのソフトウェアを利用したサプライチェーン攻撃に対する犯罪科学的調査で証拠が徐々に見つかる中、Microsoftのセキュリティ研究者らは、同ソフトウェアを利用して企業や政府機関のネットワークにマルウェアを挿入した2番目の攻撃者が存在する可能性があることを、米国時間12月18日に明らかにしている。
それによると、この2番目の攻撃者に関する情報はまだほとんど分かっていないが、SolarWindsのネットワークに侵入し、同社のネットワーク運用ソフトウェア「Orion」にマルウェアを挿入したとみられるロシア政府系ハッカーとのつながりはなさそうだという。最初の攻撃で使用されたマルウェア(コード名「SUNBURST(別名Solorigate)」)は、トロイの木馬化されたOrionアプリケーションのアップデートを介してSolarWindsの顧客に配布された。
このマルウェアは、第2段階の攻撃としてバックドア型トロイの木馬(コード名「TEARDROP」)をダウンロードし、人手による攻撃(human-operated attack)とも呼ばれるハンズオンキーボード攻撃を開始できるようにする。だが、SolarWindsへのハッキングが公になってから数日で公開された初期のレポートは、第2段階のペイロードが2種類あることを示唆していた。
Guidepoint、Symantec、Palo Alto Networksの各社は、攻撃者が.NETウェブシェル「SUPERNOVA」も埋め込んでいたことをレポートで報告。セキュリティ研究者らは、攻撃者がこのSUPERNOVAウェブシェルを使って、悪意のあるPowershellスクリプト(一部では「COSMICGALE」というコード名で呼ばれている)をダウンロードし、コンパイルして実行していたと考えた。
しかし、Microsoftのセキュリティチームはその後の分析で、SUPERNOVAウェブシェルが最初の攻撃チェーンの一部ではなかったとの見解を明らかにした。
そのため、インストールしたSolarWindsソフトウェアでSUPERNOVAが検出された企業は、このインシデントを別の攻撃とみなす必要がある。
MicrosoftのセキュリティアナリストNick Carr氏もGitHubへの投稿で、SUPERNOVAウェブシェルが悪用される可能性はあるものの、最初のソフトウェアサプライチェーン攻撃との関連性は見られないとしている。
引用元:
こんばんは
日本でもSUNBURST(Solorigate)が1件検知されたそうです。
マルウエアは日常茶飯事ですが、このようにトロイの木馬を仕込んだ強力なサイバー攻撃は「見えない戦争」の一端です。
身近には感じられないようで、政府の機密情報や企業の先端技術情報が盗まれることで私たちの生活に大きな影響を及ぼすかもしれません。
嫌な時代の中、1月6日に光明が見えるといいですね。
1月6日は期待したいところですね。