米連邦捜査局(FBI)は海外ハッカーがパッチが適用されていないFortinetのネットワークアプライアンスの脆弱性を利用し、米国の地方自治体のネットワークに侵入していたと発表しました。
この侵入は今月2021年5月に検知されたとFBIはあるウェブサイトに掲載された業界向けのレポートで述べています。
https://www.ic3.gov/Media/News/2021/210527.pdf
今回のハッキングはFBIが以前1ヶ月前の2021年4月にフォーティネットの機器にパッチを当てるよう米国の民間企業や政府機関に警告した後に発生していました。
当時FBIは海外国家のハッキンググループ(Advanced Persistent Threats(APT)とも呼ばれる)が、CVE 2018-13379、CVE-2020-12812、CVE-2019-5591としてトラックされている3つのバグに脆弱なFortinetデバイスをインターネット上でスキャンしていると警告していました。
ただ警告にもかかわらず、ハッカーは少なくとも1つの組織への侵入に成功したようで、少なくとも2021年5月の時点でAPT脅威グループがFortigateアプライアンスを悪用して、米国の地方自治体のドメインをホスティングしているウェブサーバにアクセスしたことはほぼ確実となっています。
FBIによるとこの侵入において、攻撃者は「elie」という名前のバックドアアカウントを作成。そのアカウントを使用して、侵害されたFortinet VPNアプライアンスから被害者の内部ネットワークに侵入していました。
攻撃者は被害者の内部ネットワークにアクセスすると、通常はドメインコントローラ、サーバ、ワークステーション、ADなどのシステムにアクセスするためのバックドアアカウントをさらに作成します。
これらのアカウントの中にはネットワーク上に存在する他のアカウントに似せて作成されたものもあり、特定のアカウント名は組織ごとに異なる可能性があります。
見に覚えがないユーザーアカウントや既存のアカウントを装って作成されたアカウントに加えて、以下のようなアカウントのユーザー名がこの活動に関連している可能性があります。
“ellie”
“WADGUtilityAccount”
FBIは、フォーティネット製品にパッチを適用するよう再度警告しています。
Comments