新たな調査は、脆弱なネットワークエッジ機器が差し迫った懸念事項であることを示す最新の証拠を提示している。
アマゾンの脅威インテリジェンスチームは月曜日、ロシア関連のハッカー集団が少なくとも2021年以降、エッジデバイスの脆弱性を利用して重要インフラ組織を標的にしてきたと発表した。これは、一般的なネットワーク機器に存在する広く知られた欠陥を悪用する方向への憂慮すべきシフトを浮き彫りにしている。
「脅威アクターの(エッジデバイスへの)シフトは、懸念すべき進化を示している」と、アマゾンの研究者はブログ投稿で記した。「顧客の設定ミスを狙う攻撃は少なくとも2022年以降継続しているが、アクターは2025年にこの活動へ持続的に注力する一方で、ゼロデイおよびNデイの悪用への投資を減らした」
報告書によれば、これらのデバイスを侵害した後、攻撃者はログイン認証情報を含むネットワークトラフィックを傍受し、その認証情報を用いてクラウドプラットフォームにアクセスし、被害環境内でさらに足場を固めた。
ファイアウォールやネットワーク管理インターフェースを含むエッジデバイスは、組織にとって拡大しつつあるにもかかわらず過小評価されがちなリスク源となっている。Cisco、Palo Alto Networks、Ivanti、そしてFortinetは、過去1年にわたり自社のエッジデバイスにおける深刻な脆弱性を繰り返し開示してきた。月曜日のアマゾンの報告は、中国やその他の国家支援ハッカーが初期侵入経路としてエッジデバイスを好むことを示した先行研究を補完するものだ。
アマゾンによれば、新たな脆弱性を探して悪用しようとするのではなく、既知だが未パッチの欠陥を持つエッジデバイスを標的にすることで、ロシア関連のハッカーは作業負荷と発見される可能性を大幅に低減しつつ、「同等の作戦上の成果、認証情報の窃取、そして被害組織のオンラインサービスおよびインフラへの横展開」を維持した。
アマゾンの研究者は、ウクライナなどにおける重要インフラを狙ったロシアの悪名高いSandwormキャンペーンと重なるインフラや標的設定に基づき、これらのハッカーをロシア軍参謀本部情報総局(GRU)に結び付けた。ハッカーは主に、電力事業者、エネルギー分野に特化したマネージドサービスプロバイダー、通信企業、クラウド型コラボレーションプラットフォーム、ソースコードデータベースを標的にした。被害者の大半は北米、欧州、中東に所在していた。
「この標的化は、エネルギー分野のサプライチェーンに対する持続的な注力を示している」とアマゾンは述べ、「重要インフラネットワークへのアクセスを持つ直接の運用者と第三者サービス提供者の双方を含む」とした。
予防的なサイバー防御対策
この戦略の次の被害者にならないために、アマゾンは、組織が直ちにすべてのエッジデバイスを点検し、攻撃者に侵害されてネットワークトラフィックの傍受に利用されている兆候がないか確認すべきだと述べた。企業はまた、強固な認証を徹底し、ネットワークをセグメント化し、不審なログイン試行を見直し、デバイスの不要なインターネット露出を減らすべきだ。
アマゾンはエネルギー分野の組織に対し、提供された侵害指標(IOC)のリストに基づきログイン試行を確認するよう促した。
同社によれば、アマゾンのクラウドプラットフォームの利用者は、ユーザーアクセスを制限し、脆弱性をスキャンし、不審な活動を記録するための特定の機能を有効化できる。
