史上最も巧妙な国家攻撃である NOBELIUM の捜索

news

これは、 NOBELIUM 国家のサイバー攻撃に関する 4 部構成のブログ シリーズの 2 番目です。 2020 年 12 月、Microsoft は、史上最も巧妙な国家サイバー攻撃として知られるようになったものについて、詳細を世界と共有し始めました。 Microsoft の4 部構成のビデオ シリーズ「Decoding NOBELIUM」では、NOBELUM インシデントと、Microsoft および業界全体の世界クラスの脅威ハンターがどのように結集して、歴史上最も洗練された国家国家への攻撃に対処したかについての幕を閉じます。この 2 番目の投稿では、ドキュメンタリー シリーズの2 番目のエピソードでの調査について説明します。

脅威ハンターは、高度な攻撃者によって 1 年以上にわたって計画および実行されたグローバルな攻撃を解明するのに数週間しかありませんでした。サイバー攻撃の調査の初期段階は、対戦相手がすでに一連の動きをした後で、賭け金の高いチェスの試合に参加するように感じることがあります。敵の次のステップを予測し、対抗策を開始しながら、敵が何をしたかを把握する必要があります。これらはすべて同時に行われます。手がかりは、チェス盤ではなく、コード、ログ、および反撃への応答にあります。 NOBELIUM 国家攻撃の場合、これは非常に熟練したチェス プレイヤーでしたが、私たちは会社として、また業界として、この共通の敵に立ち向かうために団結しました。これはすべて、1 つのセキュリティ会社である Mandiant (以前は FireEye として知られていた) が自社環境で異常を発見し、追加の分析のために Microsoft と証拠を共有したときに始まりましたが、この話は最終的に業界全体の何千人もの防御者を巻き込んで全体像を明らかにすることになりました。組織の保護に役立ちます。

このシリーズの最初の投稿「NOBELIUM のような国民国家の攻撃者がサイバーセキュリティをどのように変えているか」で説明したように、国民国家の攻撃は、特定の国から発信された悪意のあるサイバー攻撃であり、その国の利益を促進する試みです。ロシアが支援するハッカー グループ NOBELIUM による国家レベルの攻撃は、史上最も巧妙なものとして広く認識されています。このグループは、彼らの行動が検出される前に、複数の企業へのアクセスを取得しました。この「Decoding NOBELIUM」の2 番目のエピソードでは、グループがどのように検出され、その後数週間で防御側がどのように対応したかを探ります。

NOBELIUM はどのように検出されたのですか?

2020 年 11 月下旬、サイバーセキュリティ企業 Mandiant のセキュリティ アナリストが、同社の環境で異常を検出しました。前日のサインイン ログを確認しているときに、別の登録済みデバイスを持つユーザーのイベントに気付きました。直観で何かがおかしいと判断したため、ユーザーに電話して、新しいデバイスを登録したかどうかを尋ねました。その答えは、サイバー犯罪者を捕まえるための前例のない業界全体の捜索を開始するでしょう.ユーザーは「いいえ」と答えました。

セキュリティ専門家は、上司である Mandiant の上級副社長兼最高技術責任者である Charles Carmakal を含む同僚に警告しました。彼らはまだ敵の正体を知りませんでしたが、この最初の検出の重要性を理解するようになります.

Carmakal は、攻撃の性質をよりよく理解するために、より多くのコラボレーションとテレメトリが必要であることを認識し、すぐに Microsoft に目を向けました。 Microsoft Detection and Response Team (DART) のリードである Dan Taylor が助けを求める電話を受けたのは、午後 9 時頃でした。ダンは当初、カーマカルが冗談を言っていると思っていましたが、それが深刻であることに気付いたとき、その日の最後の散歩に犬を連れていた Microsoft DART の主任調査員であるロベルトに電話して、マンディアントが見つけた異常なコードを認識したかどうか尋ねました。ロベルトは、以前の国家調査中にこの異常を確認したことを確認しました。

防衛チームはどのように集まったのですか?

このような大規模なサイバー攻撃への対応では、一秒一秒が重要です。 NOBELIUM は、ディフェンダーに対して 1 年間アドバンテージを持っていました。世界中の高度な脅威アクターからマイクロソフトとその顧客を守る Microsoft Threat Intelligence Centerを中心に、グローバルな脅威ハンティングの取り組みが形成されました。彼らはすぐに、重大なインシデントに対応するマイクロソフトのグローバル セキュリティ エキスパート チームを起動しました。

マイクロソフトのセキュリティ アナリストである Joanne は、土曜日にハイキング ブーツのひもを締めていたときに、上司からチーム全体に宛てて、「進行中のインシデントのために全員がデッキに参加する必要があります」というテキストを受け取りました。彼女と彼女のチームメイトが攻撃の兆候について利用可能なデータを調査し始めるまで、ハイキングは待たなければなりませんでした.

Microsoft が Mandiant との提携を続けるにつれて、この攻撃が 1 つのセキュリティ会社をはるかに超えて広がっていることがすぐに明らかになりました。 Microsoft 対応チームは、この知識と共に成長しました。ミーティングごとに、さらに 50 人から 100 人のマイクロソフトの脅威専門家が参加し、全員が協力して支援しました。また、業界全体のコラボレーションも拡大しました。 Microsoft Threat Intelligence Center のシニア マルウェア リバース エンジニアである Ramin 氏は、次のように述べています。

最大の課題は、攻撃者の巧妙な手口でした。彼らは極端な変動性を練習しました。 「非常に能力が高く、非常に秘密主義で高度な敵と戦っていたことが明らかになりました」と Carmakal 氏は述べています。 NOBELIUM は、組織間で同じ IP アドレスを使用することはありません。グループが同じ組織のネットワークに再び入るたびに IP アドレスを変更することさえありました。つまり、ハッシュ、ファイル名、IP アドレスなどの従来のマーカーはすべて脆弱な指標であり、攻撃者のパスを追跡するのにあまり役に立ちませんでした。時間が経つにつれて、彼らは悪意のある活動の微妙なマーカーを特定し始めました.

チームの執拗な調査により、突破口が開かれました。未知の攻撃者が資格情報を盗み、検出されずにネットワークを移動していることを発見しました。進行中の調査中に、チームは、SolarWinds プラットフォーム内で異常なアクティビティが発生していることを発見しました。 Mandiant と Microsoft のリバース エンジニアは、SolarWind のコードの 50,000 行を逆コンパイルした後、数千の標的組織に検出されずに簡単に拡散するように設計された、コードのレイヤー内で慎重に難読化された NOBELIUM マルウェアを特定しました。 Microsoft Threat Intelligence Center のシニア ソフトウェア エンジニアである Pete 氏は、次のように述べています。

Microsoft Threat Intelligence Center のゼネラル マネージャーである John Lambert は、次のように述べています。 「[SolarWinds] を使用している企業顧客と政府部門の数を理解すると、この攻撃者が世界中に大きな影響を与える場所を手に入れたことがわかります。」

何週間にもわたって、ハンターは、最初に推測できたものを超えた規模と範囲を持つ、洗練された高度な脅威を発見しました。今こそ、苦労して得た知識を利用して、NOBELIUM からの現在の脅威を見つけて撃退し、将来の攻撃に備える時です。

ノーベリウムのレッスン

サイバーセキュリティの専門家は、NOBELIUM を攻撃の背後にいる脅威アクターとしてどのように特定しましたか?また、国家による攻撃を検出して対応するために、組織は何ができるでしょうか? 4 部構成のビデオ シリーズ「Decoding Nobelium」の第 2 エピソードでは、セキュリティの専門家が NOBELIUM の攻撃の発見に続く調査について語ります。サイバー攻撃から組織を保護する方法に関するヒントについて は、エピソードをご覧ください。

Microsoft は、サイバー犯罪者であれ、国家によるものであれ、組織がサイバー攻撃から保護されるよう支援することに取り組んでいます。特に、国家レベルの攻撃者は重要な専門知識とリソースを持っており、地政学的な目的を促進するために新しい攻撃パターンを開発します。 Microsoft は、すべての人にセキュリティを提供するという使命に沿って、最先端の脅威インテリジェンスと専任のサイバーセキュリティ防御者のグローバル チームを使用して、お客様と世界を保護します。国家攻撃に対抗するマイクロソフトの取り組みの最近の 2 つの例には、2021 年 9 月の発見、 FoggyWeb と呼ばれる NOBELIUM マルウェアの調査、およびEnvyScout、BoomBox、NativeZone、および VaporRage を侵害する NOBELIUM の初期段階のツールセットの 2021 年 5 月のプロファイリングが含まれます。 .

すぐにサポートが必要な場合は、 Microsoft セキュリティ レスポンス センターに連絡してください。 NOBELIUM 国家攻撃シリーズの今後の投稿に注目してください。この記事では、NOBELIUM の脅威とどのように戦ったかを共有し、サイバーセキュリティの将来を予測します。このシリーズの以前の投稿をお読みください。

Microsoft セキュリティ ソリューションの詳細については、 当社の Web サイト を参照してくださいセキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。

参照: https://www.microsoft.com/en-us/security/blog/2021/11/10/the-hunt-for-nobelium-the-most-sophisticated-nation-state-attack-in-history/

Comments

タイトルとURLをコピーしました