12カ国のサイバーセキュリティ機関は、ロシア政府系のサイバー部隊が世界中の脆弱なルーターを積極的に狙っていると新たに警告しました。
今回の共同勧告では、ロシア連邦保安庁(FSB)のセンター16に属するサイバー攻撃者が、デフォルトのままか脆弱なSimple Network Management Protocol(SNMP)パスワードやコミュニティ文字列を使い続けている機器をインターネット上でスキャンし、脆弱なルーターを探索している実態が詳述されています。
センター16は、Berserk Bear、Energetic Bear、Crouching Yeti、Dragonfly、Ghost Blizzard、Static Tundraといった名称でも知られています。
今回の世界規模の標的化により最もリスクが高いとされる通信、防衛、エネルギー、金融サービス、政府、医療などの分野に対し、対策を講じるよう呼びかけが行われています。
対策の一つとして挙げられているのがSNMPv3の利用です。SNMPv3は認証と暗号化の機能を標準で備えており、管理トラフィックを傍受や改ざんから保護するのに役立ちます。
一方、SNMPv1およびSNMPv2は平文で送信されるコミュニティ文字列に依存しているため、ネットワーク盗聴に対して脆弱です。攻撃者が有効なコミュニティ文字列を入手してSNMPアクセスに成功すると、オブジェクト識別子(OID)を用いてルーターに設定情報を複製させ、Trivial File Transfer Protocol(TFTP)経由で送信するよう指示できます。こうして窃取されたファイルは、脅威アクターが借りている仮想プライベートサーバーや、侵害されたファイル転送プロトコル(FTP)サーバーへと送られます。
このロシアの脅威アクターは、脆弱なSNMPパスワードやコミュニティ文字列を狙ったスキャンによる脆弱なルーターの探索に加え、Cisco製機器の共通脆弱性識別子(CVE)を悪用することも時折確認されています。
2025年、Ciscoは、パッチが適用されていない、多くの場合サポート終了となったCisco製機器のSmart Install機能に存在する7年前の脆弱性(CVE-2018-0171)が、センター16/Static Tundraによって悪用されていると警告していました。顧客に対しては、CVE-2018-0171向けのパッチを適用するか、パッチ適用が難しい場合はSmart Installを無効化するよう呼びかけが行われました。このパッチは2018年に最初にリリースされたものです。
今回の共同セキュリティ勧告では、このロシアの脅威アクターが用いる戦術・技術・手順(TTP)の多くが、中国系グループのSalt Typhoonなど他のグループのものと重複している点も指摘されています。
今回の勧告は、オーストラリア、カナダ、チェコ共和国、デンマーク、エストニア、フィンランド、フランス、イタリア、ニュージーランド、ポーランド、スウェーデン、英国、米国の各機関が共同で作成したものです。
EUと英国、ポーランドの電力網へのサイバー攻撃をセンター16の犯行と断定
今回の共同勧告の公表と時を同じくして、2025年後半にポーランドのエネルギーインフラを標的とした一連の連携サイバー攻撃について、英国と欧州連合(EU)がFSBセンター16の犯行であると正式に断定しました。
英国政府は7月13日に発表した声明の中で、次のように述べています。「この無謀な攻撃は失敗に終わったものの、真冬の最中に50万人の市民が停電に見舞われる事態を招きかねないものでした。これは、ロシア国家がヨーロッパ全域に混乱の種をまこうとする無責任な試みの、またしても一例です」
EUと英国はまた、破壊的なサイバー・ハイブリッド作戦の背後にいる個人・団体24者を対象とする共同制裁パッケージを発表しました。対象にはロシア情報機関と関連するプロキシネットワークに関与するサイバー犯罪者も含まれています。
英国はさらに、Lumma Stealerの関係者に対しても制裁を科しています。英国政府によれば、ロシアはLumma Stealerによって窃取された認証情報を利用し、クレムリンの目的を後押しするため世界各地の標的に対してサイバースパイ活動を展開してきたとされています。
国家犯罪対策庁(National Crime Agency)によると、直近6カ月間で、英国国内におけるLumma Stealerの被害者は少なくとも2100人に上っています。
翻訳元: https://www.infosecurity-magazine.com/news/russian-state-hackers-vulnerable/