"Russian Foreign Intelligence Service (SVR) Cyber Operations: Trends and Best Practices for Network Defenders"
[PDF] us-cert.cisa.gov/sites/default/…
SUMMARY
米連邦捜査局(FBI)と米国土安全保障省(DHS)は、ロシア対外情報庁(SVR)のサイバーアクター(Advanced Persistent Threat 29(APT29)、Dukes、CozyBear、Yttriumとも呼ばれる)が、今後もサイバー搾取を通じて米国および外国の企業から情報を得ようとしていると評価しています。
このサイバー搾取では、洗練度の異なるさまざまな初期搾取技術と、侵害されたネットワークへのステルス侵入技術が用いられます。
SVRは主に、政府機関のネットワーク、シンクタンクや政策分析機関、情報技術企業などを標的としています。
2021年4月15日、ホワイトハウスはSolarWindsの不正アクセスに関する声明を発表し、この活動がSVRによるものであることを明らかにしました。
FBIとDHSは、SVRのサイバーツール、ターゲット、テクニック、能力などの情報を提供し、組織が独自に調査を行い、ネットワークを保護するのに役立てています。
THREAT OVERVIEW
SVRのサイバー活動は、米国にとって長年の脅威となっています。
2018年以前には、複数の民間サイバーセキュリティ企業が、被害者のネットワークにアクセスして情報を盗むAPT 29の活動に関するレポートを発表しており、被害者のネットワーク内でステルス性を最大限に高めるためにカスタマイズされたツールを使用していることや、APT 29のアクターが検知されずに被害者の環境内を移動できることが強調されていました。
2018年以降、FBIは、SVRが被害者のネットワーク上でマルウェアを使用することから、クラウドのリソース、特に電子メールを標的にして情報を得ることにシフトしていることを確認しました。
改造したSolarWindsソフトウェアを使用してネットワークアクセスを得た後、Microsoft Office 365環境を悪用したことは、この継続的な傾向を反映しています。
クラウド・リソースを標的にすることで、被害者の組織が十分に防御、監視、理解していない環境において、漏洩したアカウントやシステムの誤設定を利用して、通常のトラフィックや監視されていないトラフィックに紛れ込ませることで、検知の可能性を下げていると考えられます。
SVR CYBER OPERATIONS TACTICS, TECHNIQUES, AND PROCEDURES
Password Spraying
2018年に行われたある大規模ネットワークの侵害では、SVRのサイバーアクターがパスワードスプレーを使用して、管理者アカウントに関連する弱いパスワードを特定しました。
このサイバー犯罪者は、検出を避けるためか、頻繁ではない間隔で少数のパスワードを試行し、「ロー&スロー」な方法でパスワードスプレー活動を行いました。
パスワードスプレーでは、住宅用、商業用、モバイル用、TOR(The Onion Router)用など、被害者と同じ国に存在する多数のIPアドレスが使用されました。
この組織では、侵害された管理者アカウントが多要素認証の要件から意図せずに除外されていました。
管理者アカウントにアクセスした行為者は、ネットワーク上の特定の電子メールアカウントの権限を変更し、認証されたネットワークユーザーであれば誰でもこれらのアカウントを読むことができるようにしました。
また、この設定ミスを利用して、管理者以外のアカウントを侵害していました。
この設定ミスにより、多要素認証に対応していない端末で、従来の単一要素認証によるログインが可能になりました。
これは、Apple社のメールクライアントやMicrosoft社のOutlookなどの旧バージョンのメールクライアントに見せかけるために、ユーザーエージェントの文字列を偽装することで実現したとFBIは考えています。
管理者以外のユーザーとしてログインした後、侵害された管理者ユーザーが適用した権限変更を利用して、被害組織内で関心のある特定のメールボックスにアクセスしました。
パスワードスプレーは様々なIPアドレスから行われていましたが、いったんアカウントにアクセスすると、そのアカウントは通常、リースした仮想プライベートサーバ(VPS)に対応する1つのIPアドレスからのみアクセスされます。
侵害されたアカウントに使用されたVPSの重複は少なく、後続の行為に使用されたリースサーバはいずれも被害組織と同じ国にありました。
アクセス期間中、行為者は常に管理用アカウントにログインしてアカウントの権限を変更しており、もはや関心がないと思われるアカウントへのアクセスを削除したり、追加のアカウントに権限を追加したりしていました。
Recommendations
この手法から身を守るために、FBIとDHSは、ネットワーク事業者に対して、クラウドコンピューティング環境へのアクセスを設定する際に、以下のようなベストプラクティスに従うことを推奨しています。
- 構内および遠隔地のすべてのユーザーに対して、承認された多要素認証ソリューションの使用を義務付ける。
- 組織が所有していないIPアドレスやシステムから管理機能やリソースへのリモートアクセスを禁止する。
- メールボックスの設定、アカウントの権限、メール転送のルールを定期的に監査し、不正な変更の痕跡を確認する。
- 可能であれば、強力なパスワードの使用を強制し、特に管理者アカウントでは、技術的手段により容易に推測されるパスワードやよく使われるパスワードの使用を防止する。
- 組織のパスワード管理プログラムを定期的に見直す。
- 組織のITサポートチームが、ユーザーアカウントロックアウトのパスワードリセットに関する標準作業手順を十分に文書化していることを確認する。
- 全従業員を対象としたセキュリティ意識向上のためのトレーニングを定期的に実施する。
Leveraging Zero-Day Vulnerability
別の事件では、SVRのアクターが、仮想プライベートネットワーク(VPN)アプライアンスに対して、当時ゼロデイエクスプロイトであったCVE-2019-19781を使用してネットワークアクセスを取得しました。
ユーザー認証情報を公開する方法でデバイスを悪用した後、アクターは公開された認証情報を使ってネットワーク上のシステムを特定し、認証しました。
この行為者は、多要素認証を必要とするように設定されていない複数の異なるシステムに足場を築き、外国の諜報機関が関心を持つ情報に沿って、ネットワークの特定の領域にあるウェブベースのリソースにアクセスしようとしました。
最初の発見後、被害者は行為者を退去させようとしました。
しかし、被害者は最初のアクセスポイントを特定しておらず、行為者は同じVPNアプライアンスの脆弱性を利用してアクセスを再開しました。
最終的には、最初のアクセスポイントが特定され、ネットワークから削除され、アクターは退去しました。
前述のケースと同様、行為者は被害者と同じ国にある専用VPSを使用していましたが、これはおそらく、ネットワーク・トラフィックが通常の活動とは異なっているように見せるためでしょう。
Recommendations
この手法から守るために、FBIとDHSは、ネットワーク防御側が、エンドポイント監視ソリューションが、ネットワーク内での横方向の動きの証拠を特定できるように構成されていることを確認することを推奨しています。
- ネットワークを監視し、エンコードされたPowerShellコマンドの証拠や、NMAPなどのネットワークスキャンツールの実行を確認する。
- ホストベースのアンチウイルス/エンドポイントモニタリングソリューションが有効であり、モニタリングやレポートが無効になった場合、またはホストエージェントとの通信が合理的な時間を超えて失われた場合に警告を発するように設定されていること。
- 内部システムへのアクセスに多要素認証の使用を求める。
- テストや開発に使用するシステムを含め、ネットワークに新たに追加されたシステムは、組織のセキュリティベースラインに沿ってすぐに設定し、企業の監視ツールに組み込む。
WELLMESS Malware
2020年、英国、カナダ、米国の政府は、「WELLMESS」と呼ばれるマルウェアを使用した侵入行為をAPT29によるものだと発表しました。
WELLMESSは、プログラミング言語「Go」で記述されており、以前に確認された活動では、COVID-19ワクチンの開発を標的にしていたようです。
FBIの調査によると、最初にネットワークに侵入した後、通常はパッチが適用されていない一般に知られた脆弱性を利用して、犯人はWELLMESSを導入しました。
ネットワークに侵入すると、各組織のワクチン研究用リポジトリとActive Directoryサーバを標的にしました。
これらの侵入は、ほとんどが社内のネットワークリソースを標的としたものであり、これまでの手法とは異なるものでした。
今回の侵入に使用されたマルウェアの詳細については、これまでに公開されており、本文書の「リソース」の項で参照しています。
Tradecraft Similarities of SolarWinds-enabled Intrusions
2020年の春から夏にかけて、SVRのサイバーオペレーターは、改造したソーラーウインズのネットワーク監視ソフトウェアを最初の侵入経路として使用し、多数のネットワークへのアクセスを拡大し始めました。
SVRが信頼のおけるソーラーウインズ製品を改造して侵入経路として使用したことは、SVRのこれまでのトレードクラフトからの顕著な逸脱でもあります。
FBIの最初の調査結果によると、侵入に使われたインフラの購入・管理方法など、SVRが主催する他の侵入行為と感染後の手口が類似していることが判明しました。
SVRのサイバーアクターは、被害者のネットワークにアクセスした後、ネットワークを介して電子メールアカウントにアクセスしました。
複数の被害者組織で狙われたアカウントには、ITスタッフに関連するアカウントも含まれていました。
FBIは、サイバー犯罪者がITスタッフを監視することで、被害者のネットワークに関する有用な情報を収集し、被害者が侵入を検知したかどうかを判断し、退去措置を回避したのではないかと考えています。
Recommendations
信頼できるソフトウェアの侵害からネットワークを守ることは困難ですが、一部の企業では、最初の悪意のあるSolarWindsソフトウェアからの後続の悪用活動を検出し、防止することに成功しました。これは、以下のような様々な監視技術を用いて達成されました。
- ログファイルを監査して、特権的な証明書へのアクセスの試みや偽の識別プロバイダの作成を特定する。
- 暗号化されたPowerShellの実行を含む、システム上の不審な行動を特定するソフトウェアを導入する。
- 侵害の行動指標を監視する機能を備えたエンドポイントプロテクションシステムを導入すること。
- クラウド環境でのクレデンシャルの不正使用を特定するために、利用可能なパブリックリソースを使用する。
- 新しいデバイスの登録など、システム上での特定のユーザー活動を確認するための認証メカニズムの設定。
被害組織の中には、最初のアクセス経路がソーラーウインズのソフトウェアであることを特定できたところはほとんどありませんでしたが、一部の組織では、さまざまな警告を関連付けて不正な活動を特定することができました。
FBIとDHSは、これらの指標と、ネットワークのセグメンテーションの強化(特に「ゼロトラスト」アーキテクチャやIDプロバイダー間の信頼関係の制限)とログの相関関係を組み合わせることで、ネットワーク防御者は追加調査が必要な疑わしい活動を特定できると考えています。
General Tradecraft Observations
SVRのサイバーオペレーターは有能な敵です。
上記の技術に加えて、FBIの調査では、侵入に使用されるインフラが、偽の身分証明書や暗号通貨を使って頻繁に入手されていることが明らかになっています。
VPSインフラは、VPS再販業者のネットワークから調達されることが多い。これらの偽装IDは、通常、一時的な電子メールアカウントや一時的なVoIP(Voice over Internet Protocol)電話番号など、評判の低いインフラによって支えられています。
SVRのサイバーアクターが独占的に使用しているわけではありませんが、SVRのサイバーペルソナの多くは、cock[.]liや関連ドメインでホストされた電子メールサービスを使用しています。
また、FBIは、SVRのサイバーオペレーターが、オープンソースの認証情報ダンプツール「Mimikatz」や、市販の悪用ツール「Cobalt Strike」など、オープンソースや市販のツールを継続的に使用していたと指摘しています。
Recommendations
FBIとDHSは、サービスプロバイダーに対し、サービスの悪用を防止するために、ユーザーの検証・確認システムを強化することを推奨しています。