知的財産の窃取、国家安全保障や貿易に関する情報収集、将来的な高度なサイバー攻撃のための手段構築など、さまざまな目的を持つ野心的な中国系とみられるハッカーたちが、米国内の標的ネットワーク内に非常に長期間にわたり潜伏していることが判明しました。この侵害について調査した研究者らは、今後数年にわたり問題を引き起こす可能性があると述べています。
MandiantおよびGoogle Threat Intelligence Group(GTIG)の研究者たちは、このキャンペーンを非常に高度で、ステルス性が高く、複雑であると説明し、背後にいる者たちを「次世代の脅威」と呼びました。しかし、彼らはまだ「Brickstorm」と名付けたこのマルウェアの背後にいるハッカーの正体や、その影響範囲を完全には把握していません。同社が水曜日に公開したブログ記事が、このグループについての詳細を明らかにしています。
主な標的は、法律サービス組織やセキュリティサービスを提供するテクノロジー企業だと研究者たちは述べています。しかし、ハッカーたちは主な標的だけにとどまらず、そのアクセス権を利用して「下流」の顧客にも侵入しています。研究者たちは、その下流顧客がどのような組織か、また米国連邦機関が標的に含まれているかどうかについては明らかにしませんでした。多くの被害組織は、まだ自分たちが被害者であることに気づいていないといいます。
セキュリティ・アズ・ア・サービス(SaaS)企業から知的財産を盗むことで、ハッカーたちは将来的なゼロデイ脆弱性(これまで知られておらず、修正もされていないため非常に価値が高い脆弱性)を発見し、さらなる攻撃を可能にしようとしていると、Mandiantおよび親会社のGoogleの研究者たちは述べています。
研究者たちは、中国政府機関との関連についてはコメントを控えました。しかし、彼らはUNC5221と名付けた中国のハッカーグループとの重複を指摘しています。このグループはIvantiの脆弱性を悪用したことで知られ、MandiantとGTIGは現在「最も広範な」中国系脅威グループと説明しています。また、Microsoftが「Silk Typhoon」と呼ぶグループもあり、今年に入って攻撃を強化しており、ITサプライチェーンやクラウドも標的にしています。Silk Typhoonは中国政府の支援を受けていると考えられています。
同社はまた、潜在的な被害者がBrickstormの活動による影響を受けているかどうかを発見するためのツールも開発しました。Googleの専門家は、今後数週間で多数の組織に影響が及ぶ可能性が高いと指摘しています。
「私たちは、組織がこのツールを使ってこの攻撃者を追跡し、自分たちの環境で侵害の証拠を見つけることになると確信しています」と、Mandiant Consultingの最高技術責任者であるチャールズ・カルマカル氏は、ブログ記事について説明を受けた記者に語りました。「それは現在進行中の侵害かもしれませんし、過去の侵害かもしれませんが、多くの組織がこの攻撃者に対処していたことを発見することになるでしょう。」
巧妙な手口
このキャンペーンの平均「潜伏期間」は400日であり、通常は数日から数週間であることと比べて非常に長いといいます。
Brickstormの活動を隠す特徴はいくつもあります。「彼らを検知し、調査するのは非常に困難です」と、GTIGの主任脅威アナリストであるオースティン・ラーセン氏は述べています。
ハッカーたちは、ラップトップや携帯電話などのエンドポイントで脅威を検知・追跡する防御機能を持たないシステムを標的にしています。たとえば、エンドポイント検知・対応(EDR)をサポートしないメールセキュリティゲートウェイや脆弱性スキャナーなどが標的となっています。ブログ記事によれば、彼らは一貫してVMware vCenterやESXiホストを狙っているとのことです。
また、ラーセン氏によれば、攻撃者のインターネットプロトコルが被害者間で重複することはなく、攻撃者を特定するもう一つの方法である「ハッシュ値」も、ほぼすべてのシステムで異なっているといいます。
Brickstormの攻撃者は、時には「証拠隠滅」も行うとカルマカル氏は述べています。「Brickstormは現在被害者の環境に存在しないかもしれませんが、1年半前から潜伏していた可能性もあります。今年の4月や1月に削除されたかもしれません」と述べています。
彼らの狙い
Brickstormの目的は一つではありません。「これは情報収集作戦ですが、それだけではありません」と、GTIGの主任アナリストであるジョン・ハルトクイスト氏は述べています。「これは長期的な戦略です。」
ハッカーたちは主にゼロデイ脆弱性を利用して被害者を侵害していますが、企業の独自ソースコードを調べることで新たなゼロデイも発見しようとしています。これにより、新たな被害者ネットワークへの侵入経路を複数確保することができます。
Brickstormのハッカーは「SaaSプロバイダーを攻撃し、そこが人々のデータを保持していたり、下流との接続を持っていたりする場合があります」とハルトクイスト氏は述べています。また、「技術のソースコードを入手し、その情報を利用してアクセス権を得たり、その技術に対するエクスプロイトを構築したりすることができれば、事実上その技術への万能鍵を手に入れることになります」とも述べています。
しかし、被害者はさらに特定されている場合もあります。「このキャンペーンの一環として、いくつかの組織、特に法律関連の組織で、攻撃者が特定の個人のメールを検索しているのを確認しました」とラーセン氏は述べています。ハッカーたちは、これらの組織から国際貿易や国家安全保障に関するスパイ情報の収集に注力しているといいます。
対応策
MandiantとGTIGは、このキャンペーンについて米国連邦機関や国際的な政府機関に通知しています。
このツールは、Unixシステム上で使用できるスキャナースクリプトであり、YARA(マルウェアの検出や識別に使われる一般的なセキュリティツール)がインストールされていなくても利用できます。このスクリプトは、Brickstormバックドア特有の単語やパターンを探すことで、特定のYARAルールと同様の検索を行うよう設計されています。
「ここで最も重要なのは、もしBrickstormを発見した場合、非常に徹底したエンタープライズ調査を行う必要があるということです。なぜなら、このマルウェアを仕掛ける攻撃者は、組織から知的財産を盗むことで知られる非常に高度な攻撃者だからです」とカルマカル氏は述べています。「被害企業からのアクセスを利用して、下流の顧客環境に侵入することでも知られています。」
「これは非常に重大かつ、テクノロジー分野では防御が非常に難しい脅威キャンペーンです」とカルマカル氏は述べています。
翻訳元: https://cyberscoop.com/chinese-cyberespionage-campaign-brickstorm-mandiant-google/