Windowsのソースコードを盗み出したハッカー集団の手口と無料対策ツールが公開される

2020年12月にハッカー集団の「UNC2452」が多数の政府機関に対して大規模なサイバー攻撃を仕掛けたことが発覚しました。さらに、このサイバー攻撃によって盗み出されたとされるWindowsのソースコードが売りに出されており、社会に大きな影響を与えています。このUNC2452による攻撃の詳細な手法について、大手セキュリティ企業のFireEyeが解説し、対策ツールを無料公開しています。

Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC2452 | FireEye Inc
https://www.fireeye.com/blog/threat-research/2021/01/remediation-and-hardening-strategies-for-microsoft-365-to-defend-against-unc2452.html

GitHub - fireeye/Mandiant-Azure-AD-Investigator
https://github.com/fireeye/Mandiant-Azure-AD-Investigator

UNC2452によるサイバー攻撃は、SolarWindsが配布したOrion Platformのソフトウェアアップデートを改ざんすることで行われました。このソフトウェアアップデートは1万8000以上の企業および政府機関に配布されており、アメリカの財務省・国務省・国立衛生研究所などの省庁に加え、MicrosoftやCisco Systemsなどの企業も被害を受けたことが報じられています。さらに、この攻撃によって盗み出されたとされるWindowsのソースコードが、6200万円で売りに出されていることが発覚しており、Microsoftのブラッド・スミス社長は「過去10年に見た中で最も深刻なサイバー攻撃の1つ」と事態を重く受け止めています。

Windowsのソースコードが6200万円で売りに出されていることが発覚 - GIGAZINE

UNC2452のサイバー攻撃について調査を進めていたFireEyeにより、Orion Platformのソフトウェアアップデートに仕込まれていたのは「SUNBURST」と呼ばれるトロイの木馬であることも判明しています。さらに、改ざんされたソフトウェアアップデートにはSolarWindsによる正規のデジタル署名が含まれており、改ざんが行われた2020年の3月から約9カ月間、誰にも気付かれることなくUNC2452によるサイバー攻撃が続けられました。

世界中の政府機関や企業の機密情報を傍受したハッカーグループ「UCN2452」の手口が明らかに - GIGAZINE

FireEyeが公開した最新の調査報告により、UCN2452は攻撃対象者に感染させたマルウェアを用いて、Active Directoryのトークン署名証明書を盗みだし、任意のユーザーのトークンを偽造することが明らかになっています。このトークンにより、UCN2452はMicrosoft 365などのアプリケーションに多要素認証を必要とせず、任意のユーザーとしてアプリケーションにログインできるとのこと。さらに、UCN2452はAzure Active Directoryに信頼されたドメインを追加することで、UCN2452が制御できるIdPを追加します。

これにより、UCN2452は任意のユーザーとして電子メールの送受信やファイルの転送・実行などさまざまな操作を行えるようになります。また、攻撃者は承認されたユーザーとして認識されているため、攻撃の検出は非常に困難です。

上記のように、UCN2452による攻撃は正当なユーザーの行動か攻撃者の行動か判別しにくいため、攻撃を受けているかどうかの判別が困難です。そこで、FireEyeはUCN2452で利用されているいくつかの行動パターンを検証することで、UCN2452の攻撃を検出するアプリケーションを開発し、GitHubで無料公開しています。

GitHub - fireeye/Mandiant-Azure-AD-Investigator
https://github.com/fireeye/Mandiant-Azure-AD-Investigator