サイバースペースにおけるロシアのウクライナへの攻撃について

仕事
Qちゃん
Qちゃん

おはようございます、こんにちは、こんばんは

Qちゃんです

ロシアがウクライナに侵攻をはじめてしまいましたね。

TV、メディアでは実際の物理的攻撃を報道していますが、サイバースペースにおいてもロシア政府が支援するAPTグループがウクライナおよび西側諸国に対してサイバー攻撃を実施しています。今日はCSA(Cybe Security Advisory)がロシア国家がらみのサイバー攻撃が増加していることを報告している内容を紹介したいと思います。

はじめに

ここ数日ロシアがウクライナに対して実際の攻撃を仕掛け始めましたね。
チェルノブイリ原発が制圧され、民間人にまで被害が発生するという最悪の事態に発展しています。ウクライナはNATOへの加盟を希望するも、承認されていないこともありNATOは具体的な軍事支援が実施できず侵攻はス進んでいくと思われます。

一方、サイバースペースにおいてもロシア国家が支援しているAPT(Advanced Persistent Threat)犯罪者が西側諸国の重要インフラに対する攻撃の機会が高まっています。

CSA*(Cyber Security Advisory)はUSの重要インフラに対するロシア政府が支援するサイバー脅威に対する緩和策を提言していますので紹介していきたいと思います。
*:CISA(Cybersecurity&Infrastracture Security Agency)、FBI(Federal Bureau of Investigation)、NSA(National Security Agency)からなる共同セキュリティ団体

引用:https://www.cisa.gov/uscert/ncas/alerts/aa22-011a

具体的な攻撃手法および攻撃対象

歴史的にロシア国家が支援するAPT犯罪者は標的のネットワークに対してスピアフィッシング、ブルートフォース攻撃、脆弱なアカウントの取得、既知の脆弱性を悪用したネットワークへの侵入など一般的ではあるが効果的な戦術を使用して攻撃を実施しています。
また、以下に記載する脆弱性を利用して攻撃していることが知られています。

  • CVE-2018-13379 FortiGate VPNs
  • CVE-2019-1653 Cisco router
  • CVE-2019-2725 Oracle WebLogic Server
  • CVE-2019-7609 Kibana
  • CVE-2019-9670 Zimbra software
  • CVE-2019-10149 Exim Simple Mail Transfer Protocol
  • CVE-2019-11510 Pulse Secure
  • CVE-2019-19781 Citrix
  • CVE-2020-0688 Microsoft Exchange
  • CVE-2020-4006 VMWare (note: this was a zero-day at time.)
  • CVE-2020-5902 F5 Big-IP
  • CVE-2020-14882 Oracle WebLogic
  • CVE-2021-26855 Microsoft Exchange (Note: this vulnerability is frequently observed used in conjunction with CVE-2021-26857, CVE-2021-26858, and CVE-2021-27065)

ロシア国家が支援するAPT犯罪者は、サードパーティのインフラストラクチャ、ソフトウェアを攻撃したり、カスタムマルウェアを開発したりなのど、高度な技術を有していると認識されています。また、犯罪者は盗難したクレデンシャル情報を利用することで、クラウドおよびオンプレ環境に検出されない永続的な長期アクセスが可能なマルウェアを展開していることが認識されています。

そういった意味で、重要インフラに対するロシア国家の支援するサイバー犯罪者は、破壊的なマルウェアを使用してオペレーショナルテクノロジー(OT)/産業用制御システム(ICS)ネットワークを主に標的としています。ICSを標的とした、ロシア国家が支援する過去のサイバー侵入攻撃およびカスタマイズされたマルウェアに関する情報については、過去に以下の報告を実施しています。

ロシア国家の支援するAPT犯罪者は高度なサイバー機能を利用して防衛産業基地、ヘルスケア、エネルギー、電気通信、政府施設等様々な西側諸国の重要インフラをターゲットにしています。米国政府が報告している注目のサイバー攻撃には以下のものもがあります。

  • 2020年9月~12月にかけて政府および航空ネットワークを侵害し、データを盗聴していることを確認しました。
  • 2011年~2018年にかけて、米国および国際的なエネルギー企業のネットワークへのリモートアクセスを実施し、ICSに焦点を当てたマルウェアを配備する多段階侵入攻撃を実施しました。
  • 2015年~2016年にかけて、ウクライナの電力会社に対してサイバー攻撃を行い、2015年12月に複数の企業が計画外の停電を経験しました。ユーザーのクレデンシャル情報を盗み、その破壊的なマルウェアであるKillDiskを使用して、感染したコンピューターを動作不能にしました。2016年、これらの攻撃者はウクライナの電力会社に対してサイバー侵入攻撃を実施し、電力網を攻撃するために特別に設計されたCrashOverrideマルウェアを配備しました。

攻撃を検知するための推奨事項

ロシア国家が支援するAPT犯罪者が、侵害された企業およびクラウド環境でアクセス可能な環境を維持したことを考えると、CISA、FBI、およびNSAは、すべての重要インフラに次のことを推奨します。

堅牢なログ収集と保持を実装
一元化されたログ収集および監視機能がないと、組織はインシデントを調査したり、脅威犯罪者の動作を検出したりする機能が制限されます。

ネットワーク、ホストベース、振る舞い型の検出機能(IDS)を実装
パスワードの盗難アクティビティを検出するには、有効なアカウントシステムおよびアプリケーションのログイン失敗の認証ログを確認します。複数のアカウントで失敗した複数の認証試行を探します。

OT / ICSシステムを使用している組織の場合
予期しない機器の動作に注意してください。たとえば、デジタルコントローラやその他のOTハードウェアおよびソフトウェアの予期しない再起動。
フィールド機器または他のOTデバイスとの通信の遅延または中断を記録します。システムの一部またはコンポーネントが遅れているか、応答していないかを判別します。

インシデント対応

ITまたはOTネットワークで潜在的なAPTアクティビティを検出するためには、以下のことを実施することを推奨します。

  1. 影響受けたシステムをすぐに分離する。
  2. 安全なバックアップ。バックアップデータがオフラインで安全であることを確認する。可能であれば、ウイルス対策プログラムを使用してバックアップデータをスキャンし、マルウェアがないことを確認する。
  3. 関連するログ、データを取得し、ネットワークの振る舞いを確認します。
  4. 対象分野の専門知識を提供し、犯罪者がネットワークから根絶されるようにし、後続の悪用を可能にする可能性のある残りの問題を回避するために、サードパーティのIT組織からのサポートを求めることを検討する。
  5. インシデントは、最寄りのFBIフィールドオフィスまたはFBIの24時間年中無休のCyWatch(855)292-3937またはCyWatch@fbi.govを介してCISAおよび/またはFBIに報告してください。

緩和策

準備

レポートプロセスを確認し、カバレッジギャップを最小限に抑える

  • 内部連絡先リストを作成します。疑わしいインシデントの主な連絡先と役割および責任を割り当て、担当者がインシデントを報告する方法と時期を確実に把握できるようにします。
  • インシデントに対応するためのサポートを特定することで、IT / OTセキュリティ担当者の可用性のギャップを最小限に抑えます。悪意のあるサイバー犯罪者は、組織のサイバーセキュリティが弱い週末や休日に組織を標的にすることが知られています。重要なインフラは、ギャップを最小限に抑えて積極的に身を守る必要があります。
  • IT / OTセキュリティ担当者が主要な内部セキュリティ機能を監視し、異常な動作を特定できるようにします。識別されたIOCとTTPにフラグを立てて、即座に対応します。

サイバーインシデント対応、回復力計画、および運用継続計画の作成、維持、および実行

  • サイバーインシデントへの対応と運用計画の継続性を作成、維持、実行します。
  • 担当者がインシデント中に実行する必要のある重要な手順に精通し、落ち着いて統一された方法で行動できるように配置されていることを確認します
  • OTネットワークの場合
    • IT/OT環境へのアクセス制御を失った場合の運用方法を整備しておきます。
      • OT/ITネットワークの相互依存関係を特定し、OT運用にリスクが生じる場合にICSネットワークを分離できるようにします。手動制御などの緊急時対応計画を定期的にテストして、サイバーインシデント中に安全な機能を維持できるようにします。ITネットワークが危険にさらされている場合でも、OTネットワークがで動作できることを確認してください。
    • ICSまたはOTネットワークをオフラインにする必要がある場合に重要な機能を実行し続けることができるように、手動制御を定期的にテストしてください。
    • ITネットワークとOTネットワークの両方にデータバックアップ手順を実装します。バックアップ手順は、定期的にテスト必要があります。バックアップ手順を定期的にテストし、マルウェアの拡散を可能にする可能性のあるネットワーク接続からバックアップが分離されていることを確認します。
    • データのバックアップに加えて、一般的なデバイスと重要なOT機器の構成設定を含むリカバリドキュメントを作成します。これにより、インシデント後のより効率的なリカバリが可能になります。

組織のサイバー耐性を強化する

IDおよびアクセス管理

  • 例外なく、すべてのユーザーに多要素認証を要求します。
  • アカウントに強力なパスワードを要求し、パスワードを複数のアカウントで使用したり、攻撃者がアクセスできるシステムに保存したりしないようにします。
  • 安全なクレデンシャル情報。ロシア国家が支援するAP犯罪者は、侵害されたクレデンシャル情報を使用して永続性を維持する能力を実装しています。
  • サービスアカウントに強力なパスワードポリシーを設定します。
  • ドメインコントローラーを監査して、成功したKerberos TGS要求をログに記録し、イベントが異常なアクティビティーについて監視されていることを確認します。  

保護制御とアーキテクチャ

  • 脅威犯罪者またはマルウェアによる横断する可能性のある異常なアクティビティを特定、検出、および調査します。ネットワーク監視ツールとホストベースのログ、およびEDR(Endpoint Detection and Response)ツールなどの監視ツールを使用します。EDRツールは、各ホストの一般的なネットワーク接続と一般的でないネットワーク接続を把握できるため、横断的な接続を検出するのに特に役立ちます。
  • 強力なスパムフィルターを有効にします。

脆弱性と構成管理

  • OS、アプリケーション、ITネットワーク資産のファームウェアなどのソフトウェアをタイムリーに更新します。既知の悪用された脆弱性、特にこのCSAで特定されたCVEにパッチを適用し、次にインターネットに接続された機器でのリモートコードまたはサービス拒否を可能にする脆弱性にパッチを適用します。
    • 一元化されたパッチ管理システムの使用を検討してください。OTネットワークの場合、リスクベースの評価戦略を使用して、パッチ管理プログラムに参加する必要があるOTネットワーク資産とゾーンを決定します。  
    • 脅威への露出を減らすために、脆弱性スキャンを含むCISAのサイバー衛生サービスにサインアップすることを検討してください。CISAの脆弱性スキャンサービスは、アクセス可能なサービスと脆弱性について、Public/Private IPアドレスの継続的なスキャンを実行することにより、外部ネットワークへの接続性を評価します。
  • 業界が推奨するウイルス対策プログラムを使用します。
    • 最新のシグネチャを使用してITネットワーク資産の定期的なスキャンを実行するようにウイルス対策/マルウェア対策プログラムを設定します。
    • リスクベースの資産インベントリ管理を使用して、マルウェアの存在についてOTネットワーク資産を特定および評価する方法を決定します。
  • 厳密な構成管理プログラムを実装します。プログラムが新たな脅威を追跡および軽減できることを確認します。構成の誤りやセキュリティ上の弱点がないか、システム構成を確認します。
  • 不要なポートとプロトコルをすべて無効にする
    • ネットワークセキュリティデバイスのログを確認し、不要なポートとプロトコルを遮断するかどうかを決定します。コマンドおよび制御アクティビティについて、共通のポートとプロトコルを監視します。
    • デバイス内の不要なサービス(PowerShellなど)または機能をオフまたは無効にします。
  • OTハードウェアが読み取り専用モードになっていることを確認します

組織の警戒を強化する

この脅威に関するレポートを定期的に確認してください。CISA通知にサインアップして、現在のセキュリティ問題、脆弱性、および影響の大きいアクティビティに関するタイムリーな情報を受け取ることを検討してください。

おわりに

Qちゃん
Qちゃん

本ブログを書いている間もウクライナの人たちはロシアの侵害におびえていることかと思います。早くこの紛争が終わり、安息な日々が戻ってくることを祈りつつ、今日のブログを締めたいと思います。

コメント

タイトルとURLをコピーしました