マイクロソフト社は、SolarWinds社のファイル転送サーバーを標的とした攻撃は「DEV-0322」という名前でトラックしている中国のハッキンググループの仕業であると発表しました。
SolarWinds Serv-U FTPとは、有名なFTPソフトでWindowsなどにインストールして使用するソフトウェアです
米国、重要インフラをサイバー攻撃から守るための5つ法案を提出。その内容は
今回の攻撃のニュースは、7月9日(金)に経営難に陥っているソフトウェア・プロバイダーであるSolarWinds社が、同社のServ-U技術に存在するゼロデイ脆弱性が悪用されているとして、これを修正するためのセキュリティ・アップデートを公開した際に初めて明らかになりました。
当時SolarWindsは、ゼロデイ脆弱性(CVE-2021-35211)と進行中の攻撃についてマイクロソフトから報告を受けたと述べましたが、Serv-Uパッチ(v15.2.3 HF2)以上の詳細は発表しませんでした。
当初、Microsoft社はコメントを拒否していましたが、サイバーセキュリティ・コミュニティからの圧力を受け、進行中の攻撃を検出してブロックするための対策を展開できるようOSメーカーに追加の詳細を求め続けた結果、マイクロソフトはゼロデイの悪用攻撃全体についての詳細な説明をブログ記事として公開しました。
Microsoft Threat Intelligence Center (MSTIC)は、観測された被害状況、戦術、手順から、このキャンペーンは中国で活動するグループであるDEV-0322によるものであると確信しています。
この脆弱性は、Microsoft社がSolarWinds社に報告したもので、Serv-UのSecure Shell (SSH)プロトコルの実装に存在します。Serv-UのSSHがインターネット上に公開されている場合、この脆弱性が悪用されると、攻撃者は遠隔地で任意のコードを実行する権限を与えられ、悪意のあるペイロードのインストールや実行、データの閲覧や変更などの行為を行うことができます。
DEV-0322は米国の国防産業基盤を標的としていた
様々な悪意のあるサイバー活動や作戦を追跡・調査しており、MSTICは追跡調査の段階で、ある操作の背後にいる行為者の出所や身元について確信が持てるようになるまでは、身元不明の脅威となる行為者を「開発グループ」または「DEVグループ」と呼び、追跡目的のために各DEVグループに固有の番号(DEV-####)を割り当てています。
MSTICでは、DEV-0322が米国の国防産業基盤セクターの企業やソフトウェア企業を標的にしていることを確認しているとし、この活動グループは中国を拠点としており、攻撃者のインフラストラクチャに商用VPNソリューションや一般消費者向けルータを使用していることが確認したと述べています。
2020年12月、ロシアが仕組んだSolarWindsのサプライチェーン攻撃が話題になった頃、中国のハッキンググループもCVE-2020-10148脆弱性を悪用して、SolarWindsのIT監視プラットフォーム「Orion」にウェブシェルをインストールすることに躍起になっていました。
CVE-2020-10148は、より広範囲なサプライチェーンの調査中に発見されたため、2つの事件を分離し、最終的にスパイラルと呼ばれる中国のグループとの関連を明らかにするまでには時間がかかりました。
SolarWindsのServ-Uファイル転送サーバーを使用している企業は、DEV-022攻撃から身を守るために、パッチをインストールするか、同グループがサーバーに侵入する方法であるサーバーへのSSHアクセスを無効にすることで防御することができます。
Censys社の検索クエリによると、SSHポートをオンラインで公開しているSolarWinds Serv-Uシステムは8,200台以上あり、この数はパッチがリリースされた先週から増えることはありませんでした。
Comments