Microsoftが大規模な政府機関へのハッキング問題に対応して攻撃に使われるドメインの押収などを実施

2020年12月、サイバーセキュリティ企業のSolarWindsのソフトウェアアップデートにマルウェアが仕込まれ、多数の政府機関などがハッキングの被害にあったことが判明しました。この問題に対し、Microsoftはセキュリティソフトの「Microsoft Defender ウイルス対策」を更新して問題があるSolarWindsのバイナリをブロックしたほか、他のハイテク企業と連携して攻撃者のドメインを押収するといった対策に乗り出しています。

Ensuring customers are protected from Solorigate - Microsoft Security
https://www.microsoft.com/security/blog/2020/12/15/ensuring-customers-are-protected-from-solorigate/

Microsoft and industry partners seize key domain used in SolarWinds hack | ZDNet
https://www.zdnet.com/article/microsoft-and-industry-partners-seize-key-domain-used-in-solarwinds-hack/

SolarWinds Hack Could Affect 18K Customers — Krebs on Security
https://krebsonsecurity.com/2020/12/solarwinds-hack-could-affect-18k-customers/

多数の政府機関をターゲットにした大規模なハッキングが明るみになったのは、2020年12月上旬にサイバーセキュリティ企業のFireEyeが「顧客のサイバーセキュリティをテストするための内部ツールを盗まれた」と報告したことが発端でした。FireEyeはこの攻撃について、「一流の攻撃能力を持つ国の政府組織」によるものだと結論づけています。その後、アメリカ財務省などの政府機関の電子メールが傍受されていたことが報じられ、一連のハッキングがSolarWindsのソフトウェアに仕込まれたマルウェア経由で行われた可能性が高いことも判明しました。

SolarWindsによると、「高度に洗練され、ターゲットが絞られた国家による手動のサプライチェーン攻撃」により、SolarWinds製のITインフラ管理システム「Orion」のアップデートに「SUNBURST(Solorigate)」というマルウェアが仕込まれたとのこと。SUNBURSTはHTTPを介して外部のサーバーと通信するバックドアを含むトロイの木馬であり、Orionの正常な動作に見せかけてPC内のデータを盗み出すそうです。

SUNBURSTを仕込んだハッカーグループは「UCN2452」と呼ばれており、FBIなどはロシア対外情報庁(SVR)の支援を受ける「APT29(CozyBear)」が、UCN2452と関連していると推測しています。

世界中の政府機関や企業の機密情報を傍受したハッカーグループ「UCN2452」の手口が明らかに - GIGAZINE

SolarWindsは、SUNBURSTの仕込まれたアップデートは2020年3月から6月にかけてリリースされており、およそ1万8000近くの顧客がSUNBURSTの仕込まれたアップデートをインストールした可能性があるとしています。すでに攻撃が確認された機関にはアメリカ合衆国財務省・国家電気通信情報庁(NTIA)・アメリカ国立衛生研究所・サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)・アメリカ合衆国国土安全保障省・アメリカ合衆国国務省などがあります。

一連のハッキング問題を受けて、Microsoftは12月15日にセキュリティブログを更新しました。Microsoftはブログの中で、Orionプラットフォームを用いる攻撃に関連して動的な脅威環境を監視しているとコメント。マルウェアが仕込まれた可能性があるOrionのバイナリをユーザーに警告するため、太平洋標準時の12月16日午前8時より、「Microsoft Defender ウイルス対策」で問題があるOrionのバイナリをブロックすると発表しました。

Microsoftは、「これらのバイナリはユーザーの環境に対する重大な脅威だと理解することが重要です。ユーザーはこのバイナリを搭載したデバイスを危険な状態にあると見なし、警告を受けたデバイスを調査する必要があります」と述べています。

また、Microsoftや他のハイテク企業の連合はSolarWindsのハッキングで中心的な役割を果たした「avsvmcloud.com」というドメインを押収し、Microsoftの所有物にしたとのこと。このドメインはマルウェアのコマンド＆コントロールサーバー(C＆Cサーバー)として機能しており、侵害したシステムとの通信を行っています。そのため、このドメインにアクセスするIPアドレスを監視することで、SUNBURSTに感染した組織を特定することが可能。Microsoftは被害者のリストを作成して影響を受ける全ての機関や企業に通知する予定だそうです。

サイバー分析企業のExtraHopでCEOを務めるJesse Rothstein氏はZDNetの取材に対し、マルウェアに関連するドメインが国際法執行機関やプロバイダーによって押収された事例は以前にもあったと指摘。NecursボットネットやTrickBotなどの問題に対し、ドメインの押収や削除が行われたとのこと。

セキュリティ企業のVolexityはUCN2452による攻撃を、2019年後半から3回の活動が確認された「Dark Halo」という脅威アクターと結びつけています。Dark Haloの主要な目的は電子メールのメッセージを監視することだったようで、3回目の攻撃としてSolarWindsのOrionプラットフォームを介した侵害が行われたとVolexityは述べています。

Dark Halo Leverages SolarWinds Compromise to Breach Organizations | Volexity
https://www.volexity.com/blog/2020/12/14/dark-halo-leverages-solarwinds-compromise-to-breach-organizations/

SolarWinds hackers have a clever way to bypass multi-factor authentication | Ars Technica
https://arstechnica.com/information-technology/2020/12/solarwinds-hackers-have-a-clever-way-to-bypass-multi-factor-authentication/

Volexityによると、Dark Haloが2回目の攻撃においてOutlook Web App(OWA)を介し、ユーザーの電子メールアカウントにアクセスしていたそうです。被害を受けた電子メールアカウントは、Ciscoのセキュリティシステムである「Duo Security」によって2段階認証が導入されていましたが、Dark Haloは2段階認証をバイパスする新技術を使用していたとのこと。

ハッカーが電子メールアカウントにログインした際の状況をVolexityが調査したところ、ハッカーは感染したネットワークの管理者権限を取得し、OWAを実行するサーバーからDuoの統合秘密鍵を盗み出していたことが判明。ハッカーはこの統合秘密鍵を用いて有効なCookieを生成し、ユーザー名とパスワードを認証した後の2段階認証を回避したとみられています。

なお、VolexityやDuoの関係者は、ハッカーが2段階認証を回避した仕組みはDuoの脆弱性を突いたものではないと指摘。2段階認証の設計においてOWAサーバーの完全なシステム侵害は考慮されておらず、ハッカーが2段階認証をほぼ無効にするほどのアクセス権限を入手したことが問題だとのことです。