全3969文字
PR

検知を避けながら2段階で攻撃

 サイバー攻撃はどんな手口だったのか。ファイア・アイによると、攻撃の目的は一貫して情報窃取とみられる。攻撃者は内部のセキュリティー文書やITセキュリティーチームのメンバーによるメールのやり取りといった情報の窃取を優先する特徴があるという。一方、個人情報や財務情報の窃取、金銭目的の破壊や妨害を目的にした行動は観測されていないとする。

 攻撃者はセキュリティー担当者らに検知されるのを避けるため、攻撃検知の仕組みやセキュリティー対策の運用状況などを把握したうえで「できるだけ長くアクセスできるよう意識していた」(ファイア・アイの千田展也シニアインテリジェンスオプティマイゼーションアナリスト)。

 ファイア・アイの分析では、攻撃は2つのステップを踏む。まず第1段階では、サンバースト(Sunburst)と呼ばれるバックドアを含んだ悪意のあるコードを用意。同コードを挿入するマルウエアを更新プログラムの配布システムに組み込み、顧客システムにインストールさせる。マルウエアは更新プログラムの実行プロセスを監視し、ソースファイルの1つを置き換えてバックドアコードを挿入していた。

 ソーラーウインズによれば、最初の攻撃の痕跡は2019年1月。同年9月にはテストコードを不正に挿入していた。そして攻撃者は2020年3月にバックドアを含んだ悪意のあるコードを配布システムに組み込んだ。同年6月には自らマルウエアを削除するという巧妙さもあった。

 複数のセキュリティー会社によると、バックドアを含んだ悪意のあるコードはインストール後に12~14日間ほどの休眠期間を経たあとで、攻撃者が標的とする環境かどうか確認する手順を実行していた。休眠期間は、セキュリティー担当者らの監視の目をくぐり抜けるためとみられる。

 その後、バックドアは侵入したシステム環境を確認。ソーラーウインズのドメインではないことや、通信状況を分析するツールが実行中でないことなどを確認したうえで、攻撃した組織を特定する情報を外部に送信する。

 ファイア・アイによると、第1段階の標的となったのは北米や欧州、アジアなどの政府組織のほか、通信や医療、公共サービスの企業だった。しかし攻撃者の想定する標的ではなかった多くの場合、攻撃は第1段階で終わっていた。つまり攻撃者はどこでバックドアが活動しているかを把握したうえで、標的を選んでいた。狙った標的だけを選んで第2段階に移行していた。

 バックドアはドメイン名や稼働中のプロセス/サービスなどの情報を収集して、複数の制御(C&C)サーバーに接続していた。C&Cサーバーに接続する際は、ドメイン生成アルゴリズム(DGA)と呼ばれるプログラムでドメイン名を次々に切り替え、セキュリティーソフトなどに通信をブロックされるのを回避していた。当初は著名なクラウドサービスのIPアドレスを使うなどして検知を回避しながら侵入したシステム内部の情報収集を続けていた。