2021 年 2 月 1 日 Josh Stuifbergen 著

SolarWinds が侵害を受けたインシデントについては、いまだ新しい事実が相次いで明らかになっています。通常だと、拡大を続ける状況について最新情報を把握することは容易ではありませんが、ウォッチガードの脅威ラボチームは、最新のアップデートに目を光らせています。

FireEye、Microsoft、CISA、SolarWinds などの大手企業以外にも、数多くの企業や研究者が事実を把握して調査結果を発表しようとしています。当然のことながら今回の侵害についてはまだ不明な点はあります。しかしこれまでに発表された調査によって、攻撃者がどのようにしてこの史上最大級のサプライチェーン攻撃を生み出したのかが明確になってきました。驚くべきことに、FireEye が検出した Sunburst のバックドアによる最初のインシデントは SolarWinds が受けた唯一の攻撃ではありません。その後の調査で、2 つの別個のマルウェアの系統が確認されています。以下のいくつかのセクションでこれらについて解説します。

Sunburst マルウェアと Teardrop Loader に関する FireEye の初期リリース

2020 年 12 月 13 日、FireEye は SolarWinds のサプライチェーン攻撃に関するレポートを発表しました。攻撃者は、SolarWinds には分からないよう Orion ソフトウェアのアップデートコードにトロイの木馬のバックドアを仕込んでいました。Orion とは、IT インフラストラクチャ監視ツール群をホストするプラットフォームです。2020 年 2月下旬から2020 年 6 月までの間に Orion のソフトウェアを更新した顧客は、Sunburst と呼ばれるマルウェアの犠牲となっている可能性がありました。その後攻撃者は、第 2 段階のペイロードである Teardrop を使用し、価値の高い標的と考えられる組織を攻撃しました。続いて Teardrop マルウェアは、Cobalt Strike をロードしました。Cobalt Strike はセキュリティ専門家向けに設計された正規のツールですが、サイバー犯罪者にも人気の高いハッキングツールキットです。

画像: Microsoft

被害者と標的

先月 SolarWinds は、このセキュリティ侵害の影響を公表しました。セキュリティが侵害された Orion のアップデートをダウンロードした SolarWinds の顧客は 18,000 件以上に上っています。その中には、大手企業や米国政府の機関も含まれていました。国土安全保障省、国務省、司法省、Microsoft、FireEye、Cisco Systems、VMware などです。これにより、攻撃者が諜報活動のために価値の高い組織を狙っていることが明らかになりました。

サイバー犯罪者

Advanced Persistent Threat (APT) を実行しているサイバー犯罪グループである APT29 は、SolarWinds インシデントの容疑者の筆頭に挙げられています。検出回避のために多大な労力が費やされ、SolarWinds のインフラストラクチャも深く理解していることから、外国政府による国家主導の攻撃ではないかと研究者は推測しています。特に APT29 の活動はロシアのセキュリティ機関と密接な関係を指摘されており、2017 年の民主党全国委員会への攻撃や、最近では複数の国で新型コロナウイルスワクチンのデータを盗み出そうとした試みなど、多くの大規模な攻撃とも関連づけられています。

C2 ドメイン

この侵害が発表された後、対策として Microsoft は、コマンド & コントロール (C2) サーバーである avsvmcloud[.]com を GoDaddy から移動させました。このドメインは、顧客のデバイスにインストールされたマルウェアとの通信に使用されていました。Microsoft はこのドメインをシンクホールとして使用し、侵害を受けた SolarWinds の顧客が持つ感染したデバイスが C2 ドメインと通信を試みた場合に、それを特定できるようにしました。Sunburst に関連したドメインはさらに 20 個ほど存在していました。

画像: SolarWinds

政府機関による告知

Microsoft が C2 ドメインに対応する一方、米国の複数の安全保障機関は、侵害の影響を受けた個人や組織のために最新情報と是正措置を公開し始めました。Cybersecurity and Infrastructure Security Agency (CISA) は侵害の詳細に関するアラート AA20-352A を公開し、新たな進展があった場合に更新を続けています。さらに、緊急指令 21-01 による緩和措置と、Microsoft 365 および Azure クラウド環境における脅威アクティビティの検出方法を詳述した関連アラート AA21-008A を公開しました。他には、国家安全保障局 (NSA) からの勧告、米国の 4 つの安全保障機関共同でロシアを起源とする APT グループの攻撃を非難する声明などが出されています。

Supernova

SolarWinds に関する新たな発見の中、研究者は SolarWinds の Orion ソフトウェア内で Supernova という名前のインメモリ .NET Web シェルの悪用を発見しました。これは異なるサイバー犯罪者が悪用しているものです。このマルウェアの展開方法は、Sunburst サプライチェーン攻撃とはまったく異なるものでした。手法が明らかに違うことから、研究者は第 2 の APT グループが関与していると考えていますが、両者ともに検出を回避するために高度な対策を講じています。サプライチェーン攻撃と同様、このマルウェアの特徴は、Orion ソフトウェアを詳細に把握していること、そして検出を回避するための技術を駆使していることです。シェルはバイナリ内の .NET API を実行できるように、メモリ内でコンパイルして実行されました。Palo Alto Networks や Volexity の Unit 42 ブログなど、複数のセキュリティベンダーがこの攻撃手法について説明しています。

JetBrains

JetBrains 社製のソフトウェア TeamCity が、攻撃者が SolarWinds にアクセスするための方法として使用された可能性があるというニュースが The New York Times で発表されました。これは JetBrains の CEO、Maxim Shafirov 氏にとっても予想外だったようですが、同社のソフトウェアが侵害された認識はなかったとの見解を示しています。中には JetBrains はロシアを拠点とする企業であるため、非難すべきであるという意見もありますが、JetBrains は定評のある企業で、世界最大のハイテク企業の間でも使用されており、安易に非難することはできません。信頼できる証拠が提供されるまで、TeamCity のソフトウェアが侵害されたと考えるべきではありません。

Sunspot Implant と Raindrop Loader

新たな発見は後を絶ちません。Crowdstrike は、サプライチェーン攻撃に関連する 3 つ目のマルウェアの発見について発表しました。このマルウェアは SolarWinds のビルドサーバで発見されました。Sunspot はビルドコマンドを追跡し、コンパイル前のソースコードを Sunburst マルウェアを含むファイルに置き換えていました。マルウェアを搭載した Orion ソフトウェアは、その後、開発段階から実環境へと移行し、顧客がそれを更新プログラムとしてダウンロードするようになりました。Symantec はサプライチェーンに関連する 4 つ目のマルウェアを発見しています。Raindrop という名前で呼ばれるこのマルウェアは、Cobalt Strike ペイロードのローダとして機能するなど、Teardrop と類似した性質を多く持っています。Teardrop と Raindrop の最も重要な違いは、Raindrop がどのようにして被害者のマシンに入り込んだのか、その起源が不明であることです。Teardrop は Sunburst から展開されたため、その点はより明確でした。

画像: Microsoft

SolarWinds は、最初のマルウェアがどのようにしてインフラストラクチャに侵入したのかまだ明らかにしていません。Microsoft、Crowdstrike、FireEye などのテック業界の大企業がこの攻撃に関する研究を続ける中、今後の進展が期待されます。Microsoft は先週、詳細な記事(英文)を発表しました。さらにコンサルタントとして、元 CISA ディレクターの Chris Krebs 氏の新しいコンサルタントグループ Krebs Stamos Group が採用されています。さて、この特異なサプライチェーン攻撃について最初に書籍を出版するのは誰になるのでしょうか。