侵害の規模
悪名高いSolarWinds侵害の背後にいる攻撃者は、米国財務省内の公式通信を傍受していた。最近開示された記録によると、この構造的な破壊工作は当局が当初想定していたよりもはるかに深刻であったことが明らかになった。さらに、Bloombergは、これらの詳細が情報公開法に基づく訴訟の結果として浮上したと報じている。これを受けて、連邦当局は財務省監察総監報告書の墨塗り版を公開した。
侵入の発端
歴史的なSolarWinds攻撃は2020年の暮れに実体化した。当初、脅威アクターはエンタープライズソフトウェアベンダーを侵害した。重要なのは、米国政府の主要機関を含む多数の著名な組織がこのサプライヤーに依存していたことだ。汚染されたOrionプラットフォームを通じて、攻撃者たちは何も知らないクライアントに悪意あるコンポーネントを効率的に配布した。こうして、攻撃者たちは機密内部ネットワークへの無制限のアクセスを確保した。
アカウントの掌握と暗号鍵へのアクセス
以前より、セキュリティアナリストたちは実行者が侵害されたネットワーク内に9か月間にわたって潜伏し続けたことを確認していた。しかし、新たに公開された文書は、重要な4か月間の詳細な記録を提供している。公式監査によると、攻撃者は2020年7月6日に最高管理者権限のアカウントを掌握した。具体的には、財務省はこの認証情報をSolarWindsのアーキテクチャ管理に使用していた。
セキュアメールアーキテクチャの改ざん
その後、脅威アクターは標準のセキュアメールアプリケーションを改ざんした。この悪意ある設定変更により、treasury.govドメイン境界内のすべての電子メール宛先が潜在的に露出した。すなわち、この侵害は省内職員の機密通信全体を危険にさらしたことになる。
情報窃取のタイムラインと残る不確実性
攻撃者たちは2020年10月12日まで通信基盤への積極的なアクセスを維持していた。その決定的な日付に、財務省はシステムアーキテクチャを変更した。その結果、追跡テレメトリが示すところによれば、攻撃者たちは足場を失った。しかしながら、この報告書には、攻撃者が実際にどの特定のメッセージを閲覧したかについての明示的な判断が欠けている。同様に、調査担当者は攻撃者がデータの窃取に成功したかどうかも確認できていない。
長期的影響と残された曖昧さ
侵害された管理者アカウントの正当な所有者は、標的とされたデータについて全く知らなかったと述べている。そのため、最初の侵入から数年が経過した現在も、連邦当局は正確な構造的被害を定量化できていない。結果として、歴史上最も重大なインテリジェンス侵害の一つにおいて、深刻な分析上の空白が残されることになった。
翻訳元: https://meterpreter.org/solarwinds-treasury-breach-report-secure-mail/
