米国とその同盟国、ロシアによる重要インフラ攻撃を警告

米国と他8カ国のサイバーセキュリティ機関が共同で、ロシアの国家系ハッカーが脆弱かつ設定不備のルーターを標的に重要インフラネットワークへの侵入を試みているとして、警告を発しました。

NSA、FBI、CISAが共同執筆し、オーストラリア、英国、カナダ、ニュージーランド、エストニア、フィンランド、フランス、イタリアの15機関が加わったこの共同勧告は、一連の攻撃をロシア連邦保安庁(FSB)の第16センターに所属するハッカーによるものと断定しています。

このハッキンググループ(Berserk Bear、Energetic Bear、Crouching Yeti、Dragonfly、Ghost Blizzard、Static Tundraなどの名称で追跡されている)は、インターネットに接続されたIPアドレス範囲をスキャンし、デフォルトまたは一般的なSNMP認証文字列を受け付けるルーターを探索します。その後、スプーフィングしたIPアドレスを使ってコマンドを発行し、デバイスの設定ファイルをコピーして、Trivial File Transfer Protocol経由で攻撃者が管理するサーバーへ流出させます。

2025年8月には、FBIも警告を発しており、同じグループがCisco IOSおよびCisco IOS XEソフトウェアのSmart Install機能に存在する深刻な脆弱性(CVE-2018-0171として追跡)を悪用し、2021年11月以降重要インフラを標的にしてきたことを明らかにしていました。

これらの攻撃で最もリスクが高いセクターは、エネルギー、通信、防衛産業基盤、医療、金融サービス、防衛、そして州・地方自治体のサービスです。

英国の国家サイバーセキュリティセンター(NCSC)は月曜日、次のように警告しました。「第16センター[中略]は、デフォルトまたは脆弱なSimple Network Management Protocol(SNMP)パスワードやコミュニティ文字列を依然として使用しているデバイスをインターネット上でスキャンし、脆弱なルーターを探し出す動きが確認されています」。

「同グループは主にSNMPスキャンを用いて脆弱なルーターを特定し侵害していますが、Ciscoデバイスに関連する既知の脆弱性、CiscoのSmart Install(SMI)機能、およびWebポータルの欠陥も悪用し、ネットワークデバイスの制御を奪取しています」。

今回勧告を発したサイバーセキュリティ機関は、ネットワーク防御担当者がこれらの攻撃に対する防御を強化できるよう緩和策も提示しました。具体的には、SNMPv3へのアップグレード、Cisco Smart Installの無効化、強力かつ固有のパスワードの徹底、エッジファイアウォールでのTFTPおよびSNMPトラフィックのブロック、ソフトウェアおよびファームウェアの更新、そしてサポート終了(EOL)デバイスの交換を呼びかけています。

Image

​今回の勧告は、国際的な法執行機関による作戦によってFrostArmadaが摘発されたことを受けたものです。FrostArmadaは、APT28(ロシア軍情報機関に関連するGRU部隊26165とされ、Fancy BearやForest Blizzardとしても追跡されているグループ)に帰属する別のキャンペーンで、2025年12月までに120カ国にわたる18,000台のルーターに感染していました。

ハッカーは、侵害したMikroTikおよびTP-Linkの中小企業・家庭用(SOHO)ルーターのDNS設定を改ざんし、認証トラフィックを攻撃者が管理するサーバーへリダイレクトさせることで、Microsoft 365のログイン情報やOAuthトークンを窃取していました。

米司法省、ポーランド政府、複数のサイバーセキュリティ企業の支援を受け、裁判所の許可を得た作戦の一環として、FBIは侵害されたルーターを保護するために悪意あるDNS設定を遠隔で削除し、正規のDNSリゾルバへの接続を強制しました。

攻撃者に先んじて、あらゆる防御層をテストする

セキュリティチームが記録できている攻撃の成功例はわずか54%、アラートが発せられるのはたった14%に過ぎません。残りは検知されないまま環境内を移動しています。

Picusのホワイトペーパーでは、Breach and Attack Simulationによって、SIEMやEDRのルールが脅威の見逃しを防げているかどうかをテストする方法を解説しています。

ホワイトペーパーを入手する

翻訳元: https://www.bleepingcomputer.com/news/security/us-and-allies-share-defense-tips-against-russian-hackers-targeting-critical-infrastructure/

ソース: bleepingcomputer.com