新興の脅威アクター「Crimson Collective」が、米国で3番目に大きい光ファイバーブロードバンド構築事業者であるBrightspeedへの侵害の責任を主張した。
同グループは、Brightspeedの顧客および従業員に属するとされる個人を特定できる情報(PII)を含むサンプルを共有し、同社の複数州にまたがる事業全体でデータ露出が起こり得るとの懸念を高めている。
Brightspeedは20州にわたりブロードバンド基盤を運用しており、730万以上の家庭および企業にサービスを提供するネットワークを維持している。近年、光ファイバー展開を急速に拡大してきた同社は、米国の光インターネット市場で重要な役割を担っている。
その展開規模は、攻撃者の主張が正確であることが確認された場合の潜在的影響を大きく増幅させる。
当チームが確認したサンプルデータによれば、漏えいには、氏名、住所、電話番号、給与関連の詳細、設置記録などが含まれており、Brightspeedの顧客および従業員情報システムに紐づいている。
これらのデータ文字列のいくつかは、公的に入手可能な事業記録と照合すると真正性があるように見え、社内システムまたはサードパーティのサービス管理プラットフォームが侵害された可能性を示唆している。
Brightspeedはこの疑惑の侵害についてまだ公式声明を出していないが、攻撃者が同社の顧客管理ポータルやデータ保管基盤の一部にアクセスした可能性があるとみられている。
予備的な分析では、攻撃者は設定不備のエンドポイント、露出したAPIインターフェース、またはリモートアクセスツールを悪用して初期侵入を得た可能性が高いことが示唆される。
Crimson Collectiveに関連する過去のキャンペーンでは、フィッシングの誘い文句、RMM(リモート監視・管理)の悪用、認証情報の窃取を用いて大規模なインフラネットワークへ侵入してきた。
確認されれば、この侵害は複数州にわたり、データプライバシー、サービス継続性、規制遵守を脅かす可能性がある。
Brightspeedが重要なブロードバンド基幹インフラを管理していることから、サイバーセキュリティ専門家は、顧客のなりすまし被害、ソーシャルエンジニアリングの試み、サプライチェーンの悪用など、下流への波及リスクの可能性を警告している。
セキュリティ研究者はすでに、Crimson Collectiveの最新キャンペーンに関連する指標を追跡している。
同グループのダークウェブ上の告知は、Brightspeedを名指しし、内部ダッシュボードのスクリーンショットやデータベースのサンプルを併記している。これは侵害主張を裏付け、被害者に身代金要求の支払いを迫るために用いられる典型的なパターンである。
公開時点では、Brightspeedのカスタマーサポートおよびオンラインポータルは稼働を継続しているが、ネットワークチームが内部レビューを実施していると報じられている。同社が全米のブロードバンド提供において果たす役割を踏まえ、連邦当局が侵害を調査すると見込まれる。
この事案は、米国の通信事業者およびネットワークサービスプロバイダーに対する攻撃の増加傾向を浮き彫りにしており、脅威アクターが影響力と混乱を最大化するため、データが豊富なインフラ企業をますます標的にしていることを示している。
翻訳元: https://cyberpress.org/crimson-collective-brightspeed-breach/