昨年12月に大規模なサイバー攻撃を受けた世界的なクラウドプロバイダー、Accellionの壊滅的な被害の責任者は、いまだ謎に包まれています。今週、研究者らは、責任者が2つの著名なハッカーグループと関係がある可能性があると発表しました。
Accellionは最近、約300社の顧客が利用するファイル共有・ストレージ製品であるレガシーファイル転送サービスアプリケーション(略称「FTA」)のゼロデイ脆弱性を、脅威アクターが悪用していたことを発見しました。その後のパッチ適用にもかかわらず、銀行、大学、大企業、政府機関などを含むFTA関連のデータ侵害が後を絶ちません。
アクセリオンは月曜日、事件以来サイバー企業ファイア・アイと協力し、研究者らが「UNC2546」と呼ばれるグループを「サイバー攻撃とデータ窃盗の背後にいる犯罪ハッカー」として特定したと発表した。
https://[削除されたリンク]/the-accellion-data-breach-seems-to-be-getting-bigger-1846250357
サイバーセキュリティの世界を知る人なら、アトリビューション(特定のサイバー攻撃の責任者を特定すること)が非常に複雑なプロセスであることをご存知でしょう。しかし実際には、FireEyeはまだすべてのパズルのピースを繋ぎ合わせたわけではありません。そこで、少し立ち止まって、研究者たちが発見した事実を見てみましょう。
まず、UNCとは何でしょうか?セキュリティ企業FireEyeは脅威活動を分類するための独自の方法を持っています。「UNC」(「Uncategorized Group(未分類グループ)」の略)とは、基本的にAPT(Advanced Persistent Threat:高度で持続的な脅威)として分類されていない活動を指します。APTとは、より広範な活動歴を持つ、十分に文書化された脅威アクターを指す用語です。FireEyeは、Accellion攻撃に関与する2つの脅威活動クラスター、「UNC2546」と「UNC2582」を特定しました。研究者によると、前者のクラスターは侵害操作(つまり、実際のハッキング)を伴う活動を表し、後者は侵害後の恐喝行為に関与していました。
事態をさらに複雑にしているのは、「UNC2546」が少なくとも2つの既知の脅威アクターと関係があるように見えることです。その中で最も明白なのは、ランサムウェア集団CL0Pです。実際、FTA攻撃で侵害を受けたAccellionクライアントのほぼすべてのデータが、このランサムウェア集団のダークウェブ「リークサイト」に投稿されています。しかし、FireEyeは、「UNC2546」が、CL0Pと密接な関係を持つ、活動的な「金銭目的」ハッカー集団FIN11とも関係がある可能性があると指摘しています。ここ数ヶ月、FIN11はCL0Pのマルウェアを攻撃に利用しています。これらのグループはすべて連携している可能性があり、場合によっては同一のグループである可能性もあります。
もしここまで読んで全く理解できなくても、それは構いません。Emsisoftの脅威アナリスト、ブレット・キャロウ氏は、ハッカーのサプライチェーンは複雑で、意図的に曖昧になっていることがあると説明しています。グループが協力し、特定のタスクを外部委託し、常に行動を隠蔽する手段を講じています。そのため、誰が責任を負っているのかを突き止めるのは至難の業であり、時には不可能なこともあります。キャロウ氏はメールで、この状況がどれほど複雑になるかを説明しています。
ランサムウェアグループは曖昧です。コア開発チームが他のランサムウェア活動に関与している可能性があり、関連組織も間違いなく関与しています。例えば、REvilのメンバーは、EgregorランサムウェアとMazeはどちらもEvil Corp(大規模サイバー犯罪ネットワーク)によって作成されたと主張しています。Evil CorpはWastedLockerとBitPaymerにも関与しており、DoppelPaymerとの関連も疑われます。これらのグループには、関連組織や専門家がおり、彼らはおそらく他のグループにも所属しているでしょう。そして、いずれも巧妙な手口を使っているため、誰が何をしたのか、誰が誰と協力しているのかを突き止めるのは容易ではありません。
確かなことは、Accellionの脅威活動とFIN11を結びつけるデジタル署名がいくつかあるということです。例えば、FTA関連の恐喝メールには、FIN11が以前にフィッシング攻撃で使用していたIPアドレスとメールアドレスが使用されていたと、FireEyeの研究者は述べています。しかしながら、これまでのところ、FIN11がAccellion攻撃の背後にいるグループであると断言できる十分な証拠は得られていません。これらの様々なグループや活動の関係性の多くは、依然として不明であると研究者らは述べています。
FIN11、UNC2546、UNC2582の重複は顕著ですが、これらのクラスターは引き続き個別に追跡し、関係性の性質を評価しています。具体的な課題の一つは、FIN11との重複範囲が攻撃ライフサイクルの後期段階に限定されていることです。UNC2546はFIN11とは異なる感染ベクトルと足掛かりを利用しており、FIN11とは異なり、影響を受けたネットワーク全体に活動を拡大しているアクターは確認されていません。
FireEyeの研究者たちは、実際の攻撃がどのように行われたかについて、より詳細な情報を明らかにすることができました。デジタルフォレンジック調査の結果、UNC2546がFTA攻撃で使用した最初の侵入メカニズムはSQLインジェクションであることが判明しました。これは、脆弱性を利用してアプリケーションに外部コードを挿入する一般的なサイバー攻撃です。その後、攻撃者は研究者が「DEWMODE」と名付けたWebシェル(悪意のあるスクリプト)を利用してFTAからデータを窃取しました。DEWMODEは、アプリケーションのMySQLデータベースから大量のデータとメタデータを直接取得し、ダウンロードしていました。
https://[削除されたリンク]/law-firm-accused-of-aiding-trumps-election-disputes-get-1846284511
DEWMODE経由でデータが盗まれた後、「UNC2582」は一連の恐喝メールの攻撃を開始した。これらのメッセージは「身代金要求」メールの典型的な例で、被害者に何が起こっているかを知らせ、データと引き換えに身代金を要求するものだった。以下を参照。
もちろん、被害を受けた組織が身代金を支払わなかった場合、ハッカーは通常、さらに凶悪な手口を使います。彼らは侵入先に最終警告を送り、身代金を支払わなければ、データがCL0Pのダークウェブリークサイトを通じて世界中(つまり他の犯罪者)に公開されると警告します。ほとんどの場合、データは以下のようなサイト上に公開されます。
前述の通り、脅威調査において、犯人特定は非常に難しい部分として知られています。そのため、研究者たちがこの件の背後に誰がいるのか100%確信できていないのも無理はありません。誰が関与しているかに関わらず、彼らは間違いなく大きな混乱を引き起こしています。
Accellion社は月曜日、FTAを利用した組織のうち、「攻撃の被害を受けたのは100社未満」で、「重大なデータ盗難の被害を受けたのは25社未満」だと発表した。これは攻撃の範囲が数十の組織に限定されていることを意味するが、実際に盗まれたデータの量はかなり膨大と思われる。一例として、最近侵害を発表した被害者は、米国最大のスーパーマーケットチェーンであるクローガーで、同社は金曜日に一部のデータが侵害されたと発表した。そのデータには「薬局やクリニックの顧客の一部の社会保障番号」が含まれていた可能性があると、同社はAP通信に語った。
