ロシアの連邦行政機関が外国のハッカーに侵入され、情報を盗み出しされたとロシア政府が報告書で明らかにしました。
この攻撃は2020年に実施されており、ロシアの通信大手ロステレコムのサイバーセキュリティ部門であるロステレコム・ソーラーとロシア連邦保安局(FSB)が2018年に創設したCERTのような組織であるコンピュータインシデントのための国家調整センター(NKTsKI)が執筆した共同報告書に詳述されています。
「攻撃者を訓練や資格(使用された技術やメカニズム、攻撃者が行った作業の速度や質)の観点から評価すると、このグループは外国国家の利益を追求するサイバー部隊に分類されると考えられる 」と報告書に書かれています。
攻撃者は新しいマルウェアを使用
ロステレコム社とNKTsKI社によるとロシアの連邦機関に侵入するため、攻撃者はスピアフィッシング、ウェブアプリケーションの脆弱性の利用、政府系企業のITインフラへのハッキングなど、幅広い侵入経路を利用したとのことです。
「インフラを完全に侵害した後、攻撃者はメールサーバー、電子文書管理サーバー、ファイルサーバー、さまざまなレベルのワークステーションなど、関心のあるあらゆるソースから機密情報の収集を行っていました」と報告しています。
「Mail-O」と「Webdav-O」という、これまでに見たことのない2種類のマルウェアを展開し、感染したホスト上でコマンドを実行してデータを窃取するステルス性の高いバックドアを使用していたこともわかっています。
Mail-OはMail.ruクラウドサーバーに、Webdav-OはYandex.Diskクラウドにデータをアップロードしており、Mail-OとWebdav-Oはロシア連邦のネットワークに通常インストールされているKasperskyアンチウイルスソフトウェアを回避するように設計されており、そのネットワークトラフィックをMail.ruのDisk-OとYandex.Diskアプリケーションの正当な通信に偽装していました。
共同報告書には、両マルウェアの内部構造に関する技術的な詳細が記述されています。
ロシア当局は、今回の攻撃が特定の国によるものであるとは現時点では認めていません。
今回の報告書は、米国政府がSolarWinds社のサプライチェーン攻撃をロシア対外情報庁によるサイバー・スパイ活動であると正式に発表してから1ヶ月後に発表されたものです。
Comments