セキュリティ

NSAやFBIが「ロシア政府のハッカーが世界の政府機関や民間機関に攻撃を仕掛けている」と公式警告を発する


アメリカの国家安全保障局(NSA)、サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)、連邦捜査局(FBI)およびイギリスの国家サイバーセキュリティセンター(NCSC)が共同で、ロシア連邦軍参謀本部情報総局(GRU)のハッカーが世界中の政府機関や民間機関に対してブルートフォースアタック(総当たり攻撃)を仕掛け続けていると警告を発しました。

Russian GRU Conducting Global Brute ForceCampaign to Compromise Enterprise and Cloud Environments
(PDFファイル)https://media.defense.gov/2021/Jul/01/2002753896/-1/-1/1/CSA_GRU_GLOBAL_BRUTE_FORCE_CAMPAIGN_UOO158036-21.PDF

NSA, Partners Release Cybersecurity Advisory on Brute Force Global Cyber Campaign > National Security Agency Central Security Service > Press Room
https://www.nsa.gov/news-features/press-room/Article/2677750/nsa-partners-release-cybersecurity-advisory-on-brute-force-global-cyber-campaign/

NSA: Russian GRU hackers use Kubernetes to run brute force attacks
https://www.bleepingcomputer.com/news/security/nsa-russian-gru-hackers-use-kubernetes-to-run-brute-force-attacks/

FBI, NSA: Russian military cyber-unit behind large-scale brute-force attacks - The Record by Recorded Future
https://therecord.media/fbi-nsa-russian-military-cyber-unit-behind-large-scale-brute-force-attacks/

NSAをはじめとする政府機関が共同で、少なくとも2019年半ばからGRUの第85Main Special Service Center(GTsSS)に属する第26165部隊がKubernetesクラスタを利用して世界中の組織にブルートフォースアタックを仕掛け続けていると警告しました。Kubernetesクラスタは、コンテナ化したアプリケーションのデプロイ・スケーリング・管理などを行うオープンソースのコンテナオーケストレーションシステムであるKubernetesを実行するためのノードマシンのセットを指しており、第26165部隊はこのKubernetesクラスタからCactusVPN・IPVanish・NordVPN・ProtonVPN・Surfshark・WorldVPNなどの各種VPNサービスを介して難読化を行った上でブルートフォースアタックを続けているとみられています。

GRUによるサイバー攻撃の具体的な手順は、まずKubernetesクラスタから有効な認証情報を特定するブルートフォースアタックを実行し、入手した証明書を用いてExchange Serverのリモートコード実行に関する脆弱性(CVE-2020-0688CVE-2020-17144)などの既知の脆弱性を突いて政府機関や企業のネットワークに侵入。その後は侵入状態を永続化させるためにイントラネット内にSocksプロキシを作成するreGeorg Web shellを展開しつつ他の認証情報を取得し、入手した認証情報を使って内部の電子メールサーバーにアクセスします。


また、第26165部隊は2020年11月から2021年3月にかけてはVPNサービスを活用せずブルートフォースアタックを行ったとのことで、その際には以下のIPアドレスからアメリカの政府および軍事組織、政治コンサルタントおよび政党組織、防衛産業の請負業者、エネルギー系企業、物流系企業、シンクタンク、高等教育機関、法律事務所、メディア企業などに対する攻撃が確認されています。

・158.58.173[.]40
・185.141.63[.]47
・185.233.185[.]21
・188.214.30[.]76
・195.154.250[.]89
・93.115.28[.]161
・95.141.36[.]180
・77.83.247[.]81
・192.145.125[.]42
・193.29.187[.]60

NSAらによると、GTsSSのサイバー攻撃部隊は「APT28」「ファンシーベア」「Strontium」としても知られているとのこと。NSAは2020年8月には、ファンシーベア製のマルウェアツールが国家安全保障を脅かしているとして警告していました。

ロシア政府系ハッカー集団「ファンシーベア」が未発見のLinuxマルウェアツール「Drovorub」で国家安全保障を脅かしているとFBI・NSAが警告 - GIGAZINE

この記事のタイトルとURLをコピーする

・関連記事
ロシア対外情報庁によるアメリカや同盟国への攻撃では5つの脆弱性が悪用されている - GIGAZINE

フランスの政府機関が3年間にわたる国内企業へのハッキング被害について報告、ロシアのハッカーが関与か - GIGAZINE

SolarWinds製ソフトウェアの欠陥を利用したアメリカ政府への新たなハッキングの痕跡が見つかる - GIGAZINE

ロシア政府支援のハッカーによるSolarWinds製品を悪用した大規模ハッキングの影で中国のハッカーも同製品にマルウェアを仕掛けていたことが明らかに - GIGAZINE

Microsoftが「ロシア・中国・イランのハッカー組織から大統領選がサイバー攻撃を受けている」と報告 - GIGAZINE

・関連コンテンツ

in セキュリティ, Posted by darkhorse_log

You can read the machine translated English article here.