過去2週間にわたり、APT(Advanced Persistent Threat:高度持続的脅威)サイバー攻撃の報告は、潜在的な脅威の影響について新たな基準を設定する規模と複雑さを示してきた。昨日、CISA(米国サイバーセキュリティ・インフラストラクチャ・セキュリティ局)は、最初に特定されたアクセス・ベクトルであるSolarWinds Orionプラットフォームの侵害だけが唯一のものではないと警告を発した。
CISAは今回の攻撃を国家によるものとは断定していないが、その焦点の当て方とリソースの多さから、国家による脅威行為であることは間違いない。メディアの報道ではロシアが犯人であるとされているが、現時点ではその検証は行われていない。
攻撃の発生源にかかわらず、重要インフラや産業組織、あるいは政府機関であれば、CISAが提供する情報に早急に注意を払う必要がある。直ちに攻撃への対応を計画し、潜在的なリスクを評価すべきである。
このブログでは、現在入手可能な情報、リソースの入手先、およびNozomi Networks の顧客が自社のシステムに APT 感染の兆候がないかどうかを評価する方法について簡単に説明します。
APTサイバー攻撃の範囲と深刻さが明らかに
2020年12月8日、サイバーセキュリティ企業FireEyeは、同社のシステムが「高度に洗練された脅威行為者、その規律、運用セキュリティ、テクニックから、国家がスポンサーとなった攻撃と思われるもの」によって侵入されたと報告した。
2020年12月13日、CISAは 、SolarWinds Orionネットワーク監視プラットフォームのアクティブな悪用に関するアドバイザリを発表しました 。CISAはまた、影響を受けるすべての連邦政府機関に対し、SolarWinds Orion製品の接続を直ちに切断するか、電源を落とすよう命じる緊急指令も発表した。
2020年12月17日、CISAはアラート(AA20-352A)を発表し、SolarWindsソフトウェアの侵害と一致するTTP(戦術、技術、手順)が新たな被害者グループとして確認されたことを通知しました。これらの被害者は、SolarWinds 製品を使用していないか、製品を持っているが悪用活動を行っていない。アラートによると、"CISAは、この脅威が連邦政府、州政府、地方政府、部族政府、準州政府、重要インフラ事業体、その他の民間組織に重大なリスクをもたらすと判断した"。
「サプライチェーンのハッキングがどのように行われたのか、ソーラーウインズ以外にどのようなベクターが使われたのか、どれだけの被害者が影響を受けたのか、敵の目的は何だったのか、どのような情報を入手できたのか、その情報を使って何をするつもりなのか、などなど。
現時点では、産業用制御システムのハッキングは関係ないようだ。しかし、脆弱性やセキュリティ対策に関して、企業のファイルやFERCのような政府機関から得られる可能性のある洞察は、将来的に重要なインフラを混乱させる可能性がある。これは、ネットワークの可視化、異常な活動の検出能力、そして侵害の影響を軽減するための計画の必要性を、今、痛感させるものだ。
この脅威を取り除くのは戦いになる。この敵は、一度発見されたら逃げ出すような相手ではない。一度追い出されれば、再び戻ってくることさえある。われわれは団結してネットワークを守り、情報を共有し、敵の技術革新よりも早く対策を講じなければならない。
スザンヌ・スパルディング、Nozomi Networks 顧問、元DHS次官
侵害の特定と修復は巨大な課題である
12月17日付のCISAアラートでは、この攻撃の技術的な詳細について説明し、この攻撃を検知するためのいくつかの方法を提示している。貴社のセキュリティ・チームは、この情報に基づいて直ちに対策を講じるべきである。
しかし、攻撃のステルス性を考えると、感染したかどうかを判断するのは難しい。また、悪意のある活動を検出した場合、CISAは「侵害された環境から脅威行為者を排除することは非常に複雑で困難である」と 警告している。
「これは非常に重大なサイバー脅威であり、特に多くの組織は攻撃を受けたかどうかを知ることができない。APTは長期間ネットワークに潜伏する可能性があり、予測可能な将来にわたってシステムを脆弱にします。
さらに、足場を維持するスキルを持つ高度に洗練された国民国家のエンティティによって侵入に成功した場合、問題を一掃するために企業全体の完全な再構築と再クレデンシャル化が必要になることもある。このAPTのある被害者は、攻撃者を2度追い出したが、別の方法で再びアクセスされた。
攻撃を受けたと思われる場合は、直ちにCISAに連絡して支援を求めてください」。
クリス・グローブ、プロダクト・エバンジェリストNozomi Networks
最新のCISAアドバイザリーには、連絡方法に関する情報が掲載されている:
- 1-888-282-0870(米国外から:+1-703-235-8832)
- central@cisa.dhs.gov (UNCLASS)
- us-cert@dhs.sgov.gov(SIPRNET)
- us-cert@dhs.ic.gov(JWICS)
Nozomi Networks お客様 - IoCのために今すぐネットワークトラフィック・データを見直す
侵害されたかどうかを判断するための最初のステップは、保存されたネットワークスナップショットを確認するためのGuardian'TimeMachineTM機能を使用して、2020年3月から6月までのネットワークトラフィックを評価することです。
Nozomi Networks Labsの脅威リサーチチームは、攻撃に関する詳細が判明するにつれて、当社のThreat Intelligence サービスを通じて、Guardian'の検出機能を継続的に更新しています。現在、これらの攻撃に関連するすべての既知のIoC(悪意のあるトラフィックシグネチャ、IP、ドメインなど)を検出しています。
当社の検知機能には、SolarWinds Orionの侵害に関連するIoCや、侵害時に流出したFireEye Red Teamのツールを使用し、実際の攻撃時に内部ツールを使用する脅威行為者を検知するものがあります。
過去のネットワーク・アクティビティを分析する際、Guardian 、ネットワーク内でこれらのIoCに関連するアクティビティが検出された場合、アラートが生成されます。
アラートの詳細情報(MITRE ATT&CKのテクニックと戦術を含む)をSIEMと共有し、必要であればイベントの相関を追加することができます。
この新しいAPTの複雑さと結果は極端である。
12月に画期的なサイバー攻撃が発覚したのは今回が初めてではない。ウクライナの電力部門は2015年と2016年に、侵入だけでなく停電にまで及ぶ攻撃を受けた。
この APT の巧妙さと CISA が発した警告の深刻さは、この脅威ベクトルが重要インフラへの攻撃における新たな基準を設定しつつあることを意味します。貴社の技術チームと管理チームは、被害を特定し軽減するための戦略を迅速に確立する必要があります。
Threat Intelligence Nozomi Networks テクニカルリソースもご利用いただけます。アカウントマネージャーまたはカスタマーサポートまでお問い合わせください。
このような困難な時であっても、私たちはまだ楽観的である。これらの攻撃の結果は、政府にも企業にも広範囲に影響を及ぼす可能性が高いが、過去の攻撃と同様に、サイバーセキュリティプログラムを改善し、防御を強化し、サイバー耐性を向上させる機会を提供すると信じている。
