米国とその同盟国、重要インフラ用ルーターを狙うロシアのサイバー攻撃に警告

ロシア国家支援の高度persistent threat(APT)攻撃者がネットワーク機器を標的にし、世界中の重要インフラを侵害しようとしていると米国とその同盟国が警告しています。

米国、オーストラリア、カナダ、チェコ、デンマーク、エストニア、フィンランド、イタリア、ニュージーランド、ポーランド、スウェーデン、英国の政府機関は共同勧告(PDF)の中で、今回の攻撃活動にはセキュリティ対策が不十分な機器、主にルーターを悪用するためのスキャンが含まれていると述べています。

勧告を発表した各機関によると、Berserk Bear、Energetic Bear、Crouching Yeti、Dragonfly、Ghost Blizzard、Static Tundraといったロシア連邦保安庁(FSB)Center 16の脅威アクターが、こうした攻撃に関与していることが確認されています。

今回の攻撃活動は、通信、防衛産業基盤、エネルギー、金融、政府、医療・公衆衛生の各分野にわたる重要インフラ組織を標的としています。

脅威アクターはプロキシを利用し、Simple Network Management Protocol(SNMP)のset-requestを対象のIPレンジに送信します。これにより標的機器上のSNMPエージェントに設定情報をファイルへコピーさせ、通常はTrivial File Transfer Protocol(TFTP)経由で、仮想プライベートサーバー(VPS)や侵害済みのFTPサーバーへ転送させます。

さらに、脅威アクターがCiscoデバイスの既知の脆弱性を悪用する様子も確認されています。これにはCVE-2008-4128CVE-2018-0171が含まれ、任意のコード実行やコマンド実行につながります。

「これらのTTP(戦術・技術・手順)の多くは、Salt Typhoonなど他の悪意あるサイバーアクターの活動と重なっています」と、勧告を発表した各機関は指摘しています。

ネットワーク防御担当者に対しては、全デバイスでCisco Smart Installを無効化すること、SNMPv1およびSNMPv2を無効化すること、最新の暗号化標準に対応したSNMPv3を使用すること、ネットワークデバイス上のアカウントには固有のパスワードを使用すること、認証情報を安全に保存するよう設定すること、そしてローカルアカウントを使ったログインを監視・アラート対象とすることが推奨されています。

また、防御担当者はSNMPオブジェクト識別子(OID)へのアクセスを制限し、管理プロトコルを制限し、エッジファイアウォールおよびデバイス上の特定ポートで外部との通信を拒否し、既知の脆弱性を修正するためにネットワークデバイスのソフトウェアおよびファームウェアを常に最新の状態に保つべきだとしています。

NSAは最近、SNMPの悪用リスクを低減するための勧告を公開しています。

翻訳元: https://www.securityweek.com/us-allies-warn-of-russian-cyberattacks-targeting-critical-infrastructure-routers/

ソース: securityweek.com