世界中の政府機関や企業の機密情報を傍受したハッカーグループ「UCN2452」の手口が明らかに

アメリカ財務省をはじめとする政府機関の電子メールが、ロシア政府機関の支援を受けていると疑いのあるハッカーグループから監視されていたと報告されていた問題で、セキュリティ企業のFireEyeが「ビジネスソフトウェアの更新ファイルにこっそり仕込まれていたマルウェアによるサプライチェーン攻撃が原因だった」と述べ、その手口を明らかにしました。

Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor | FireEye Inc
https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html

U.S. Homeland Security, thousands of businesses scramble after suspected Russian hack | Reuters
https://www.reuters.com/article/global-cyber-idUSKBN28O26X

アメリカ政府機関がメール内容を傍受されていた事件については、以下の記事にまとめられています。一連の攻撃を行っている攻撃者は「UCN2452」と呼ばれ、その正体は記事作成時点も不明。ただし、FBIはUCN2452がロシア政府の支援を受けるハッカーグループの「APT29」ではないかとみています。

ロシア政府の支援を受けるハッカーがアメリカ政府機関をハッキングしてメール内容などを監視していたことが判明 - GIGAZINE

UCN2452による攻撃はアメリカだけではなく、ヨーロッパやアジア、中東などの政府組織や企業が対象となっています。FireEyeの調査によれば、UCN2452は「SUNBURST」と呼ばれるマルウェアを、SolarWinds製のITインフラ管理システム「Orion」のソフトウェア更新に仕込んで攻撃を行っていたことが判明したそうです。

SUNBURSTは、Orionのコアフレームワークプラグインの1つであるSolarWinds.Orion.Core.BusinessLayer.dllに、HTTPを介して外部のサーバーと通信するバックドアを含ませたトロイの木馬です。SUNBURSTは最大2週間潜伏した後、ファイル転送やファイル実行、システムのプロファイリング、マシンの再起動、システムサービスの無効化などを行います。さらに偵察結果を正当なプラグイン構成ファイルに保存し、ネットワークトラフィックを正当な通信プロトコルに見せかけて送信することで、Orionの正常な動作に見せかけてPC内のデータを盗み出します。

by Ming-yen Hsu

FireEyeによれば、2020年3月から5月にかけて、SUNBURSTが仕込まれた複数のアップデートファイルが出回っており、いずれもSolarWindsによる正規なデジタル署名を含んでいたとのこと。SolarWindsは「この攻撃は最大1万8000人が対象となり、約9カ月にわたって政府や企業、広告代理店がスパイの対象になっていました」と述べ、ホットフィックスをリリースして対応を促しています。また、アメリカ政府はOrionの使用を今すぐやめるように緊急警報を発しました。

FireEyeは「UCN2452は非常に熟練した攻撃者である」と見ており、SUNBURSTの攻撃を検出するためのツールをGitHubで公開しています。

GitHub - fireeye/sunburst_countermeasures
https://github.com/fireeye/sunburst_countermeasures

なお、ロイターによれば、ロシア政府はUCN2452との関係を否定しているそうです。