ロシア政府支援のハッカーによるSolarWinds製品を悪用した大規模ハッキングの影で中国のハッカーも同製品にマルウェアを仕掛けていたことが明らかに
2020年12月、ロシア政府の支援を受けたとみられるハッキンググループが、サイバーセキュリティ企業のSolarWindsが提供するソフトウェア「Orion Software」を利用して、アメリカ政府機関や大企業へのハッキングを仕掛けていたことが判明しました。この大規模なサプライチェーン攻撃とは別に、中国のハッキンググループもOrion Softwareのアップデートファイルにマルウェアを仕掛けていたと報じられています。
SUPERNOVA Web Shell Deployment Linked to SPIRAL Threat Group Blog | Secureworks
https://www.secureworks.com/blog/supernova-web-shell-deployment-linked-to-spiral-threat-group
Attacks on SolarWinds Servers Also Linked To Chinese Threat Actor | The Record by Recorded Future
https://therecord.media/attacks-on-solarwinds-servers-also-linked-to-chinese-threat-actor/
Hackers hiding Supernova malware in SolarWinds Orion linked to China
https://www.bleepingcomputer.com/news/security/hackers-hiding-supernova-malware-in-solarwinds-orion-linked-to-china/
2020年12月に報じられたロシア政府の支援を受けたとみられるハッキンググループによる攻撃は、Orion Softwareのアップデートファイルを改ざんして、バックドアを追加するマルウェアを仕込むという手法でした。多数のアメリカ政府機関や民間企業が問題のアップデートをインストールしており、Microsoftのブラッド・スミス社長は「過去10年に見た中で最も深刻なサイバー攻撃の1つだと考えられます」と述べています。
Microsoft社長が「過去10年で最も深刻なサイバー攻撃の1つ」と語るSolarWindsの「Orion Platform」に対する攻撃とは? - GIGAZINE
一方、Microsoftはアメリカ政府機関への大規模な攻撃が報じられた数日後、同じくOrion Softwareを利用した「第2の攻撃者」がいる可能性を示唆していました。第2の攻撃者はOrion Softwareを介して、「SUPERNOVA」と呼ばれるWebシェルを配信していたとのこと。
SolarWinds製品悪用のハッキング、「第2の攻撃者」がいた--マイクロソフトが示唆 - CNET Japan
https://japan.cnet.com/article/35164204/
当初、セキュリティ研究者らはSUPERNOVAを用いた攻撃も、ロシア政府の支援を受けたハッキンググループによる攻撃の一部だと考えていたそうです。しかし、Microsoftのセキュリティチームは12月の報告で、SUPERNOVAは一連のサプライチェーン攻撃の一部ではなく、独立したハッキンググループによる別の攻撃であるとの見解を示していました。
SUPERNOVAを用いた攻撃者は、ロシア政府に関連するハッキンググループが使用したOrion Softwareのアップデートインフラストラクチャではなく、Orion SoftwareのAPI認証バイパスに存在する脆弱性を突いてSUPERNOVAを仕込んでいたとのこと。SUPERNOVAはOrion Softwareプラットフォームのバックドアとして機能し、攻撃者は内部のネットワークにアクセスしてデータを盗み取ることが可能でした。
その後、2021年3月8日にサイバーセキュリティ企業のSecureworksが報告したレポートでは、SUPERNOVAを利用した攻撃が「Spiral」というコードネームで追跡されている攻撃者とリンクしていると述べられています。Spiralは2020年8月にもZohoが提供する管理ソフトウェアのManageEngineに攻撃を仕掛けていたことが判明しており、SUPERNOVAの手口とManageEngineに対する手口に類似性が確認されているそうです。
Secureworksによると、Spiralが行った過去の攻撃ではインフラストラクチャ上に中国のIPアドレスが存在することが確認されたとのこと。このIPアドレスの意図的でない可能性が高いため、Secureworksの研究者は「活動の特徴はグループが中国に拠点を置いていることを示唆しています」と指摘しています。なお、SecureworksはSpiralが中国政府によって支援されているのか、それとも単に営利目的のサイバー犯罪組織なのかに言及していません。
近年では中国政府の支援を受けたハッカーグループによるサイバー攻撃が増加しており、Microsoftが提供する電子メール製品・Exchange Serverの脆弱性を利用した攻撃では、既に3万以上の組織がハッキングされていると指摘されています。
中国によるサイバー攻撃で政府が緊急指令を発令、すでに3万以上の組織がハッキングされているとの指摘も - GIGAZINE
・関連記事
SolarWinds製ソフトウェアの欠陥を利用したアメリカ政府への新たなハッキングの痕跡が見つかる - GIGAZINE
ロシア政府の支援を受けるハッキンググループによるアメリカ政府機関へのサイバー攻撃「Solorigate」は当初の予想以上の被害規模の可能性 - GIGAZINE
Microsoft社長が「過去10年で最も深刻なサイバー攻撃の1つ」と語るSolarWindsの「Orion Platform」に対する攻撃とは? - GIGAZINE
「過去10年で最も深刻なサイバー攻撃」の原因となったSolarWindsのサーバーが「solarwinds123」というパスワードだった件をCEOが「インターンの間違い」と説明 - GIGAZINE
Microsoftが「中国政府系ハッカーによるExchange Serverの脆弱性を利用した新たな攻撃」について報告 - GIGAZINE
中国によるサイバー攻撃で政府が緊急指令を発令、すでに3万以上の組織がハッキングされているとの指摘も - GIGAZINE
・関連コンテンツ
