アメリカの国家安全保障局(NSA)、サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)、連邦捜査局(FBI)、およびイギリスの国家サイバーセキュリティセンター(NCSC)が、ロシアの軍事情報機関によるアメリカに対する悪意あるサイバー活動に関するサイバーセキュリティアドバイザリーをリリースした。この活動は2019年半ばから始まり、現在も継続中とみられている。
GTsSSによる攻撃手法を詳しく説明
NSAによると、アドバイザリーはロシア連邦軍参謀情報総局(GRU)の第85メインスペシャルサービスセンター(GTsSS)が、ブルートフォースアクセスを使用して侵入するために数百のアメリカおよび外国の組織をターゲットにした方法について詳しく説明したもので、資格情報にアクセスし、データを収集して盗み出すために使用された戦術、技術、および手順(TTP)を明らかにしている。また、この脅威に対抗するために必要な緩和策をシステム管理者に提供している。
悪意のあるサイバー攻撃者は、ブルートフォース技術を使用して、多くの場合、以前に漏洩したユーザー名とパスワードを使用したり、最も一般的なパスワードのバリエーションを推測したりして、大規模なログインを試行して有効な資格情報を見つけ出す。ブルートフォースの手法は新しいものではないが、GTsSSはソフトウェアコンテナを独自に活用して、ブルートフォースの試みを簡単にスケーリングしていた。
有効な資格情報が発見されると、GTsSSは既知の脆弱性と組み合わせて、被害者のネットワークにさらにアクセスできるようにした。そして防御を回避しメールボックスを含むネットワーク内のさまざまな情報を収集して盗み出すことに成功した。アドバイザリーは、攻撃が進行中であると警告している。ターゲットは主にアメリカとヨーロッパの政府および軍、防衛請負業者、エネルギー会社、高等教育、ロジスティクス会社、法律事務所、メディア会社、政治コンサルタントまたは政党、およびシンクタンクなどが含まれている。NSAは、国防総省(DoD)、国家安全保障システム(NSS)、および国防産業基地(DIB)のシステム管理者が侵入の痕跡(IOC)を確認し、緩和策を適用することを推奨している。
マンディアント「オリンピックの妨害を試みる可能性も」
また、アドバイザリーを受けてアメリカのサイバーセキュリティ企業、ファイア・アイは、ファイア・アイ、マンディアント脅威インテリジェンス、バイス・プレジデントであるJohn Hultquist(ジョン・ハルクイスト)氏のコメントを発表、「ロシアのAPT28は軍事情報機関のサイバー部門であり、その任務の一環として標的としている組織に対する情報収集を定期的に行っている。この脅威グループは、政策立案者、外交官、軍、防衛産業を対象とした情報収集を日常的に行っている。このようなインシデントは、必ずしもハッキングや情報漏洩のような攻撃を予見するものではなく、我々が最大限の努力をしても、ロシアのスパイ活動を止めることはほぼ不可能だ。今回発行されたセキュリティ・アドバイザリーは、旧ソ連国防省参謀本部情報部(GRU)が依然として脅威であることを再認識させる。同組織がオリンピックの妨害を試みる可能性もあることを考慮すると、今回の発表は特に注目される」としている。
■出典
■詳細
NSA.gov / What-We-Do / Cybersecurity / Advisories-Technical-Guidance /