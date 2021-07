2021年07月02日 11時20分 セキュリティ

NSAやFBIが「ロシア政府のハッカーが世界の政府機関や民間機関に攻撃を仕掛けている」と公式警告を発する



アメリカの国家安全保障局(NSA)、サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)、連邦捜査局(FBI)およびイギリスの国家サイバーセキュリティセンター(NCSC)が共同で、ロシア連邦軍参謀本部情報総局(GRU)のハッカーが世界中の政府機関や民間機関に対してブルートフォースアタック(総当たり攻撃)を仕掛け続けていると警告を発しました。



NSAをはじめとする政府機関が共同で、少なくとも2019年半ばからGRUの第85Main Special Service Center(GTsSS)に属する第26165部隊がKubernetesクラスタを利用して世界中の組織にブルートフォースアタックを仕掛け続けていると警告しました。Kubernetesクラスタは、コンテナ化したアプリケーションのデプロイ・スケーリング・管理などを行うオープンソースのコンテナオーケストレーションシステムであるKubernetesを実行するためのノードマシンのセットを指しており、第26165部隊はこのKubernetesクラスタからCactusVPN・IPVanish・NordVPN・ProtonVPN・Surfshark・WorldVPNなどの各種VPNサービスを介して難読化を行った上でブルートフォースアタックを続けているとみられています。



GRUによるサイバー攻撃の具体的な手順は、まずKubernetesクラスタから有効な認証情報を特定するブルートフォースアタックを実行し、入手した証明書を用いてExchange Serverのリモートコード実行に関する脆弱性(CVE-2020-0688やCVE-2020-17144)などの既知の脆弱性を突いて政府機関や企業のネットワークに侵入。その後は侵入状態を永続化させるためにイントラネット内にSocksプロキシを作成するreGeorg Web shellを展開しつつ他の認証情報を取得し、入手した認証情報を使って内部の電子メールサーバーにアクセスします。





また、第26165部隊は2020年11月から2021年3月にかけてはVPNサービスを活用せずブルートフォースアタックを行ったとのことで、その際には以下のIPアドレスからアメリカの政府および軍事組織、政治コンサルタントおよび政党組織、防衛産業の請負業者、エネルギー系企業、物流系企業、シンクタンク、高等教育機関、法律事務所、メディア企業などに対する攻撃が確認されています。



・158.58.173[.]40

・185.141.63[.]47

・185.233.185[.]21

・188.214.30[.]76

・195.154.250[.]89

・93.115.28[.]161

・95.141.36[.]180

・77.83.247[.]81

・192.145.125[.]42

・193.29.187[.]60



NSAらによると、GTsSSのサイバー攻撃部隊は「APT28」「ファンシーベア」「Strontium」としても知られているとのこと。NSAは2020年8月には、ファンシーベア製のマルウェアツールが国家安全保障を脅かしているとして警告していました。



