アマゾンのセキュリティ研究者によると、西側のエネルギー企業を標的にする中で、著名なロシア政府系ハッカーは、新たな脆弱性を突いて組織に侵入する手口から、設定不備のネットワークエッジ機器を狙う手口へと切り替えたという。
Amazon Integrated SecurityのCISOであるCJ・モーゼス氏はインタビューでRecorded Future Newsに対し、被害組織の数は10を超えると述べ、攻撃はAPT44として知られる著名なハッキング作戦によるものだとした。通称サンドワーム(Sandworm)またはシーシェル・ブリザード(Seashell Blizzard)と呼ばれるこのグループは、米当局によりロシアの参謀本部情報総局(GRU)と関連付けられている。
モーゼス氏は、アマゾンがこのキャンペーンの追跡を2021年に開始し、西側の重要インフラ、とりわけエネルギー部門に焦点が当てられていることを確認したと述べた。アマゾンは「Amazon MadPot」と呼ぶ大規模なハニーポット網を通じて、このキャンペーンを検知できたという。
アマゾンが入手したデータは、「AWS上でホストされる顧客のネットワークエッジ機器に対する協調的な作戦」を示していた。
「これはAWSの弱点によるものではない。これらは顧客側で設定が誤っている機器のようだ」とモーゼス氏は主張した。
このキャンペーンは似たパターンをたどった。ハッカーはAWS上でホストされる顧客のネットワークエッジ機器を侵害し、傍受したトラフィックから認証情報を盗み、その情報を被害者のオンラインサービスやインフラに対して使用し、その後、横展開を可能にする永続的なアクセスを確立した。
今週の記者向け説明会でアマゾンの担当者は、この数年にわたるキャンペーンが「重要インフラ標的化における大きな進化を示している。すなわち、設定不備と思われる顧客のネットワークエッジ機器が主要な初期侵入ベクターとなり、脆弱性悪用の活動は減少したという戦術的転換だ」と述べた。
専門家らは「この戦術的適応により、攻撃者の露出とリソース支出を抑えつつ、同じ作戦上の成果、認証情報の収集、そして被害組織のオンラインサービスやインフラへの横展開が可能になる」と述べた。
アマゾンの研究者は述べたところによると、ハッカーは2025年に複数の分野のエンドポイントへアクセスしており、電力会社、エネルギー供給事業者、そしてエネルギー部門の顧客を専門とするマネージド・セキュリティ・サービス・プロバイダーなどが含まれるという。
このキャンペーンには、通信事業者やテクノロジー企業を標的とした攻撃も含まれていた。
アマゾンは、侵害されたネットワーク機器を発見した場合には影響を受けた顧客に通知し、調査結果を業界パートナーおよび影響を受けたベンダーとも共有したとしている。
「手の届きやすい標的」
アマゾンの研究者は、同じグループが以前は新たな脆弱性を何年にもわたって利用していたが、2025年に設定不備の顧客ネットワークエッジ機器の悪用へ切り替えたことを突き止めた。
2021年から2022年にかけて、ハッカーはCVE-2022-26318を悪用した。これはWatchGuardの人気ファイアウォール製品群に影響するバグだ。翌年、GRUの攻撃者はCVE-2021-26084およびCVE-2023-22518を使用した。これらはConfluence Data CenterおよびConfluence Server製品に影響する。
アマゾンによると、2024年までに同グループはソフトウェア企業Veeamの脆弱性(CVE-2023-27532を含む)の悪用へ移行し、その後2025年には「設定不備の顧客ネットワークエッジ機器」を標的にしたという。
国家主体とサイバー犯罪者の双方が、管理インターフェースが露出した設定不備の機器という「手の届きやすい標的」を長年狙ってきた。目的は、重要インフラネットワークへの永続的アクセス、または認証情報の収集である。
アマゾンによれば、この手法は、ゼロデイやNデイ脆弱性を見つけて開発するために必要な金銭的投資を一部削減する狙いもある。
アマゾンは被害者の詳細を明らかにしなかったが、機器が侵害されてから侵入が試みられるまでの時間差は、ハッカーが能動的な認証情報窃取よりも受動的な情報収集に関心を持っていた可能性を示していると述べた。
このハッキンググループは、世界的に重要インフラやエネルギー企業を標的にしてきたとして、これまでに非難されており、特にウクライナでの活動が指摘されている。研究者がロシア軍情報部隊74455と関連付けているサンドワームは、少なくとも2013年から活動しており、KillDiskやFoxBlade、さらにNotPetyaやPrestigeといった大きく報じられた事件を含む、ロシアによる最も注目度の高い破壊的攻撃の一部に関与している。
Securonixのセキュリティ専門家アーロン・ベアズリー氏は、アマゾンの調査結果はサイバーセキュリティ業界におけるより広範な文化的変化を反映していると述べた。
同氏によれば、セキュリティチームは脆弱性管理を劇的に改善し、パッチ適用サイクルは数カ月から数週間へと短縮され、サイバー防御プラットフォームは悪用の痕跡を確実に検知できるようになったという。
ベアズリー氏によると、脅威インテリジェンスの共有により、防御側が適応するまでの間にエクスプロイトが有効でいられる期間は短くなっている。
「結果として、従来型の脆弱性悪用はより多くのリソースを必要とし、検知リスクが高まり、得られる見返りは逓減している。だから高度な攻撃者は、高度な攻撃者がすることをした。最も抵抗の少ない道へと舵を切ったのだ」と同氏は述べた。
「この変化はセキュリティプログラムの失敗ではない。機能している証拠だ。防御側が従来の悪用モデルを高コストで高リスクなものにしたため、攻撃者が適応した。問題は、設定のセキュリティが重要なセキュリティ統制ではなく運用上の雑務として扱われてきたことであり、これは直ちに変える必要がある。」
翻訳元: https://therecord.media/russia-gru-hackers-target-energy-sector-sandworm
