2020年12月8日(現地時間)、米サイバーセキュリティ企業のFireEyeは自社が受けたサイバー攻撃とその取り組みの詳細について公表しました。ここでは関連する情報をまとめます。
一流の攻撃能力
FireEyeのKevin Mandia CEOが今回の同社へのサイバー攻撃についてブログに投稿を行っている。
www.fireeye.com
明らかになっていること
ブログを通じ明らかにされたことは以下の通り。
- Mandia氏はFireEyeが一流の攻撃能力を持つ国家支援による攻撃を受けたと表現。FBI、Microsoftを含む関連組織と調査中で、これら組織の初報は同社の見解を裏付けるものだとしている。
- 今回の攻撃では顧客のセキュリティテストに使用されるRedTeam用のツールを標的にしていたことが判明。FireEyeは盗まれたツールが使用された証拠は発表時点で確認していない。
- 攻撃者は特定の政府系顧客(米国は含まれていなかったとも報じられている*1)に関連する情報を探査し、内部システムの一部にアクセスが行われていた。ただし、現時点ではインシデント対応、コンサルティング等の顧客関連情報や脅威インテリジェンス製品により収集されたメタデータが窃取された痕跡は確認されていない。(万一判明した際は直接連絡する方針)
またRedTeamのツールが盗まれたことを受け、次の対応を行ったことを明らかにした。
- 盗まれたツールの使用を検出、ブロックが出来る対策を用意
- 同社のセキュリティ製品への対策を導入
- 対策に関連する情報をセキュリティコミュニティで共有、セキュリティツールへの反映を可能とした
- 当該ツールに対する追加の緩和策が利用可能となった場合、セキュリティパートナーへ公、あるいは直接共有
明らかにされていないこと
次に係る情報は12月8日時点で公表されていない。
- 関連が疑われるアクター名(または国名*2)
- 攻撃を受けた時期・攻撃手法の詳細
- 攻撃者の目的
- FireEyeが攻撃に気付いたキッカケ
- Microsoftが調査協力に関わっている理由
攻撃の詳細に関しては次の表現にとどめられている。
- 世界クラスで特別に調整された手段によるもの
- セキュリティツールやフォレンジックに対抗する方法を使用
- FireEyeやパートナーがこれまで目にしたことのない新技術の組み合わせ
盗まれたRedTeam用ツール
今回の不正アクセスで盗まれたRedTeam用ツールについて詳細がブログで公開されている。
www.fireeye.com
- RedTeamは組織に対する攻撃、機能の悪用を模倣することを承認、編成された専門家グループ。このグループの目的は攻撃成功の影響を防御側(BlueTeam)に明らかにし、運用環境における対抗策を示すことで対象組織のセキュリティを向上させること。
- 偵察自動化のシンプルなスクリプト、Cobalt StrikeやMetasploit等の一般に利用可能な技術に類似したフレームワーク全体が窃取された対象に含まれるが、多くのツールはオープンソース(CommandoVM)として公開されている。
- 盗まれたツールは世界中の他のRedTeamでも使用される方法が適用されたもので、未修正の脆弱性を使用する攻撃コードは含まれていない。そのため今回の窃取による攻撃者の能力が大幅に向上するとはFireEyeは考えていない。(そのような事態を避けるためFireEyeは可能な対策を行っていくと説明)
- 盗まれたツールの使用の検出を可能とするため、OpenIOC、Yara、Snort、ClamAVで利用可能なルールを公開した。2020年12月10日時点で312のルールが公開されている。
既知の脆弱性はツールで利用されていたことからCVEのリストが公開されている。
| CVE | 説明 | CVSS |
|---|---|---|
| CVE-2019-11510 | pre-auth arbitrary file reading from Pulse Secure SSL VPNs | 10.0 |
| CVE-2020-1472 | Microsoft Active Directory escalation of privileges | 10.0 |
| CVE-2018-13379 | pre-auth arbitrary file reading from Fortinet Fortigate SSL VPN | 9.8 |
| CVE-2018-15961 | RCE via Adobe ColdFusion (arbitrary file upload that can be used to upload a JSP web shell) | 9.8 |
| CVE-2019-0604 | RCE for Microsoft Sharepoint | 9.8 |
| CVE-2019-0708 | RCE of Windows Remote Desktop Services (RDS) | 9.8 |
| CVE-2019-11580 | Atlassian Crowd Remote Code Execution | 9.8 |
| CVE-2019-19781 | RCE of Citrix Application Delivery Controller and Citrix Gateway | 9.8 |
| CVE-2020-10189 | RCE for ZoHo ManageEngine Desktop Central | 9.8 |
| CVE-2014-1812 | Windows Local Privilege Escalation | 9.0 |
| CVE-2019-3398 | Confluence Authenticated Remote Code Execution | 8.8 |
| CVE-2020-0688 | Remote Command Execution in Microsoft Exchange | 8.8 |
| CVE-2016-0167 | local privilege escalation on older versions of Microsoft Windows | 7.8 |
| CVE-2017-11774 | RCE in Microsoft Outlook via crafted document execution (phishing) | 7.8 |
| CVE-2018-8581 | Microsoft Exchange Server escalation of privileges | 7.4 |
| CVE-2019-8394 | arbitrary pre-auth file upload to ZoHo ManageEngine ServiceDesk Plus | 6.5 |
- Pulse Connect SecureやForti OS、MicrosoftのZerologonなど国内で最近話題になった脆弱性も含まれている。
更新履歴
- 2020年12月10日 PM 新規作成
*1:Spies with Russia’s foreign intelligence service believed to have hacked a top American cybersecurity firm and stolen its sensitive tools,The Washington Post,2020年12月9日
*2:BBCはロシアの名前を挙げているがソースは不明。
