同盟国の複数の治安当局は、ウクライナへの支援物資を輸送している西側の物流企業およびテック企業数十社が、過去2年間にわたりロシア国家支援のサイバー諜報キャンペーンの標的となってきたと警告した。
社名は明らかにされていないが、これらの企業は米国および欧州各国において、防衛、ITサービス、海運、空港、港湾、ならびに航空交通管理システムの各分野で事業を展開している。
問題のロシアのハッキンググループであるAPT28(別名 Fancy Bear、Pawn Storm、Sednit、Sofacy、Iron Twilight)は、GRU(ロシア軍参謀本部情報総局)の軍部隊26165に由来し、サイバー諜報活動で広く知られている。
NSAおよび国家サイバーセキュリティセンター(NCSC)を含む同盟国による共同サイバーセキュリティ勧告は、「攻撃者は、鉄道管理向けの産業用制御システム(ICS)コンポーネントの製造に関与する少なくとも1つの組織に対しても偵察を実施したが、侵害の成功は確認されていない」と指摘した。
APT28に関する詳細はこちら: ロシア支援のAPT28がウクライナの重要電力施設への攻撃を試みた
これらの攻撃で同グループが用いたことが確認されている戦術・技術・手順(TTP)には、次のものが含まれる:
- 認証情報の推測/ブルートフォース
- 認証情報を狙ったスピアフィッシング
- マルウェアを配布するスピアフィッシング
- OutlookのNTLM脆弱性(CVE-2023-23397)
- Roundcubeの脆弱性(CVE-2020-12641、CVE-2020-35730、CVE-2021-44026)
- 公開脆弱性およびSQLインジェクションを介した、企業VPNを含むインターネット公開インフラの悪用
- WinRARの脆弱性(CVE-2023-38831)の悪用
英国のNCSCは、「テクノロジー企業および物流企業の経営層とネットワーク防御担当者は、標的化の脅威が高まっていることを認識し、自身を守るため直ちに行動を起こすべきだ」と述べた。
「対策には、監視の強化、パスキーなど強力な要素を用いた多要素認証の利用、そして脆弱性を管理するためにセキュリティ更新を迅速に適用することが含まれる。」
Cato Networkのチーフ・セキュリティ・ストラテジストであるEtay Maorは、リスクのある組織は従来の境界型セキュリティから脱却し、ゼロトラストのアプローチを採用すべきだと述べた。
「ネットワークを城に例えて考えてみてください。以前は外壁を守ることに注力していました。しかしハッカーは内部に侵入する方法を見つけています」と彼は付け加えた。「このキャンペーンは、城の中により小さな内壁を築く必要があることを示しています。そうすれば、ある区域が侵害されても被害を封じ込められます。また、たとえすでに城壁の内側にいるとしても、機密領域にアクセスする前に全員の身元を検証する必要があります。」
監視下に置かれるIPカメラ
勧告によれば、APT28は過去2年以上にわたり、ウクライナの国境沿いの検問所付近、軍事施設、鉄道駅周辺にある民間のIPカメラおよび自治体の交通カメラも標的にし、戦禍の同国へ流入する物資の動きを追跡していた。
「攻撃者は、2022年3月の早い段階から、主にウクライナに所在するIPカメラをホストするReal Time Streaming Protocol(RTSP)サーバーを、大規模キャンペーンで標的にした。これには、デバイスの列挙 [T1592] やカメラの映像フィードへのアクセス獲得の試みが含まれていた」と、同勧告は説明している。
この方法で標的となったデバイスは1万台を超え、ウクライナ、ハンガリー、ルーマニア、スロバキア、ポーランド、その他の国々に及んだ。
Sophos Counter Threat Unitの脅威インテリジェンス・ディレクターであるRafe Pillingは、「情報収集を目的としたIPカメラの標的化は興味深い。これは、作戦に物理的影響の側面があることを見越している場合に、Iron Twilightのような国家支援の敵対者に一般的に関連付けられる戦術だ」と述べた。
「ロシア軍への情報提供者として、このアクセスは、どのような物資が、いつ、どの程度の量で輸送されているのかを把握する助けとなり、物理的攻撃目標の選定を支援するだろう。」
翻訳元: https://www.infosecurity-magazine.com/news/western-logistics-tech-firms/
