piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

SolarWindsのサプライチェーン攻撃についてまとめてみた

2020年12月13日、IT管理ソフトやリモート監視ツールの開発を行うSolarWindsは同社が開発するOrion Platformにバックドアが含まれていたことを公表しました。同社の製品は米国の多数の政府機関、企業で導入されていたため影響範囲が広く、またFireEyeが12月8日に発表した不正アクセス事案との関連があったことから米国を中心に大きな注目を浴びる事案となっています。ここでは関連する情報をまとめます。

1.何が起きたの?

  • FireEyeが受けた不正アクセスの手口が明らかになり、米政府機関など多数の組織にも影響が及ぶキャンペーンであったことが判明。
  • SolarWinds社Orion Platformの正規のアップデートを通じてバックドアが仕込まれた。資格情報窃取による侵害の手口が報告されている。
  • 2020年3月からバックドアを使ったキャンペーンが開始され、アジアを含む世界中の組織が影響を受けたとみられる。(情報窃取等の被害組織数は現時点で不明だが最大18,000組織が対象とされる。)

2.何をしたらいいの?

影響を受ける製品を自組織で使っているか確認する。影響を受ける場合、アカウント侵害発生を前提とする対処が推奨されている。

  1. SolarWinds社が発表している該当製品を組織内で利用していないか。
  2. 該当製品に含まれるOrion Platformのバージョンは影響対象のものか。

3.どのような被害が確認されているの?

  • 攻撃の影響を受けたとみられる顧客数は最大で約1万8000件。*1
  • 複数の米政府機関のメール監視が行われていたとされるが、機密情報(システム)への影響は確認されていないとも報じられている。*2
  • FireEyeの調査によれば、北米、欧州、アジア、中東に関係する政府、コンサルティング、テクノロジー、電気通信、採掘事業者を対象に50組織でキャンペーンの活動がみられたとした。(FireEyeは影響を受けたことが確認できた組織には通知を行っているとした。)
  • Microsoftによれば、侵害の被害を受けたとみられる40の組織(民間企業、政府機関、シンクタンク)を特定。44%が民間のテクノロジー企業で大半は官民の広範囲を保護しているセキュリティ企業だったという。被害組織の約8割は米国だが、それ以外に7か国(カナダ、メキシコ、ベルギー、スペイン、英国、イスラエル、UAE)でも確認されている。
f:id:piyokango:20201220023308p:plain
Microsoftが確認した被害組織の状況(同社ブログより)
  • RecordedFurtureはSUNBURSTによる影響を受けた顧客198組織を確認したと取材に答えている。第二段階のC2サーバーへの接続は約1,000組織が確認されているとした。*3
影響を受けたとみられる組織

今回の攻撃による影響を受けた(関連している)として名前が挙げられている米国政府等の組織名 *4 *5 *6 *7 *8 *9 *10 *11 *12 *13 *14

  • SolarWinds...ビルドシステムへの攻撃、配布コンポーネントの改ざんと発表
  • FireEye...内部システムへのアクセス、RedTeam用ツールの窃取が行われたと発表
  • Microsoft...攻撃に晒されたと報道も影響の発生をCEOは否定 (Reuters)
  • Cisco...研究者が使用した端末約20台が標的となったと報道(Bloomberg)
  • Nvidia...不正アクセスされたと報道(WSJ)
  • Intel...不正アクセスされたと報道(WSJ)
  • Deloito...不正アクセスされたと報道(WSJ)
  • VMware...不正アクセスされたと報道(WSJ)
  • Equifax...調査中だが不正動作は確認されていないと報道(Forbes)
  • GE...問題範囲特定のためサプライヤと協力中と報道(Forbes)
  • Belkin International...不正アクセスされたと報道(WSJ)
  • Cox Communications...被害を受けたと報道(Reuters)
  • 財務省…2020年7月以降に侵害と職員の電子メールの監視の被害。その後機密システムへの攻撃は確認されていないと報道 (Reuters)
  • 商務省…電子メールの監視と報道 (Reuters)
  • 国防総省...-ハッキングの兆候と報道 (NYT)
  • 国土安全保障省...被害者リストに入ったと報道 (WP,POLITICO)
  • 国務省...被害者リストに入ったと報道 (WP)
  • 司法省...3%の職員メールアカウントが侵害。(プレス発表)
  • 国立衛生研究所...被害者リストに入ったと報道 (WP)
  • エネルギー省...攻撃の危険に晒されたが国家安全保障機能への影響無しと報道 (NYT)
  • 国家核安全保障局...内部ネットワークにアクセスされたと報道(POLITICO)
  • 原子力研究所...攻撃の危険に晒されたが国家安全保障機能への影響無しと報道 (NYT)
  • 電気通信情報管理庁(NTIA) …電子メールの監視と報道 (Reuters)
  • 裁判所事務局(AO)...事案による事件管理・電子事件ファイルシステム(CM/ECF)への影響確認中(プレス発表
  • サイバーセキュリティインフラストラクチャ庁(CISA)...12/13以降に確認された犠牲者に列挙(ZDnet)
  • アリゾナ州ピマ群...被害を受けたと報道(Reuters)
  • カリフォルニア州立病院...不正アクセスされたと報道(WSJ)
  • ケント州立大学...不正アクセスされたと報道(WSJ)
  • テキサス州オースティン市...ネットワーク侵害の報道(TIC)
Microsoftのソースコードリポジトリへアクセス

Microsoft Internal Solorigate Investigation Update – Microsoft Security Response Center

  • 2020年12月31日にMicrosoftは事案による影響を報告。
  • SolarWindsのインシデントに起因するマルウェアの存在が確認された他、活動痕跡も確認された。
  • 少数の内部用アカウントで問題のアクティビティが検出。1つのアカウントより多数のソースコードリポジトリへアクセスがあった。
  • 当該活動で使用されたアカウントではコードやエンジニアリングシステムの変更権限はなく、コードの改ざんは発生していないことが確認されている。
  • Microsoftはこの活動によるリスク上昇の影響はないと評価している。

Microsoft Internal Solorigate Investigation – Final Update – Microsoft Security Response Center

  • 2021年2月18日に今回の件に関する最終の調査結果を報告。
  • サービス、顧客データへのアクセスされた証拠は確認されなかった。
  • ソースリポジトリに対しては2020年11月下旬に最初のアクセスが行われ、2021年1月初旬まで接続試行が行われていた。
  • ソースコードの大半にはアクセスが行われておらず、リポジトリの検索結果として表示された個々のファイルはわずかであった。
  • ソースコードのダウンロードが行われたものとしてAzureコンポーネント、Intuneコンポーネント、Exchangeコンポーネントのそれぞれミニマルなサブセットが含まれていた。
  • 今回の事案からの教訓としてMicrosoftはゼロトラストと特権管理が重要であると総括している。
日本国内での影響

4.誰が攻撃を行ったの?

  • SolarWindsは海外の国家的支援による可能性との助言を受けつつも攻撃者の特定には至っていないと発表。
  • 事案に係る調査関係者3名の話によると、ロシア由来の攻撃が原因と発言。*15 報道ではAPT29(CozyBear)と呼称されるアクターが関与した可能性が指摘されている。*16
  • VOLEXITYは2019年後半、2020年に米拠点のシンクタンクで発生した複数のインシデントと紐づくと説明した。

各社による呼称が異なっており、まとめると以下の通り。

FireEye UNC2452
VOLEXITY Dark Halo
PaloAlto(Unit42) SolarStrom
CrowdStrike StellarParticle

5.米国の状況は?

  • 米政府、関係組織は数か月前より、ネットワーク上の不審なアクティビティに気づきはしていたが攻撃の手口、範囲など事態に気づいたのは12月に入ってから。事実上長期に渡り気づくことが出来なかった。*17
  • 一連の侵害事件に対し、米当局者(FBI、DHS、NSAなど)らが緊急会議を行っている。不正アクセス被害は確認されていないとの報道あり。- 国家安全保障担当の大統領補佐官は中東・欧州歴訪の日程を短縮し帰国している。(元は19日帰国予定だったが15日に帰国)*18
  • 米国務長官は第三者のソフトウェアを使用した米政府システムへのハッキングが試みられたとし、活動はロシア人と明確に言えると思うと発言。(高官が関係者を名指しするのは初めて)*19
  • バイデン次期大統領の首席補佐官指名のクレイン氏が一連の不正アクセスに対しスパイ活動と攻撃の間のグレーゾーンと表現。上院情報委員会議員の発言した報復が必要とする考えに支持する意向を示した。*20
日時 出来事
2019年10月10日 攻撃者によるバックドアが含まれないSolarWinds Orion Platformが配布されたとされる最初の日付。
2020年3月~6月 攻撃者によるバックドアが含まれるSolarWinds Orion Platformが配布されていた期間。
2020年12月8日 FireEyeが不正アクセスによるRedTeam用ツールの窃取を確認したと発表。
2020年12月11日 Reutersが米財務省、商務省に対してサイバー攻撃が発生していたと発表。
2020年12月12日 一連のハッキング事件を受け、国家安全保障会議開催と報道。
2020年12月13日 FireEyeがSolarWinds社製ソフトウェアを通じたサプライチェーン攻撃の発生を発表。
同日 CISAが緊急指令21-01を発令。
2020年12月16日 Microsoftが同社のウイルス対策機能を通じ既知のマルウェアのブロックを開始。
2020年12月18日 米国務長官がラジオ番組に出演しロシア関与の可能性に強く言及。*21
2020年12月19日 米大統領が中国による可能性を指摘する内容をTwitterへ投稿。
2020年12月22日 バイデン次期大統領が記者会見し、現在も影響が続いているとしロシアに対し報復を示唆するコメント。
2021年1月5日 一連の攻撃がロシアを起源とする攻撃者によるものとFBI、CISAなど連名で共同声明。
UCGの共同声明

JOINT STATEMENT BY THE FEDERAL BUREAU OF INVESTIGATION (FBI), THE CYBERSECURITY AND INFRASTRUCTURE SECURITY AGENCY (CISA), THE OFFICE OF THE DIRECTOR OF NATIONAL INTELLIGENCE (ODNI), AND THE NATIONAL SECURITY AGENCY (NSA)

  • FBI、CISA、ODNI、NSA(サイバー統一調整グループ、UCG)による共同声明を2021年1月5日公開。
  • SolarWindsのサプライチェーン攻撃にかかる重大なサイバーインシデントに対し、ロシア起源のAPTアクターが大半、あるいは全てに責任があると発表。発表時点では情報収集を行っている最中ではあるが、今後もこの見解は変わらないとしている。
  • 影響を受けたとされる約18,000組織の内、システム侵害といった実際に影響を受けたとみられる数ははるかに少ないとみられる。(米国政府機関は10に満たないとみらている)
  • 最後に各組織の対応状況を説明している。
FBI 次の4つの取り組みを実行している。被害組織特定、エビデンス収集、実行者の特定、政府および民間パートナーとの結果を共有し通知
CISA キャンペーンの範囲と窃取状況の把握のため政府および民間セクターのパートナーと情報を迅速に共有。異常検知のためのツール作成や緊急指令による指示の他、即時に行動を起こせるレベルの技術詳細と緩和策を提供する通知を発行。
ODNI UCGへの最新インテリジェンス情報の確保の他、ステークホルダーへの状況認識の提供により知識ギャップへの対処するためのインテリジェンス収集活動の調整。
NSA サイバーセキュリティの専門知識、実用的なガイダンスをUCGパートナー、国家安全保障システム、国防総省およびそのシステム所有者に提供。インシデント規模と範囲の評価、技術的緩和策の提供に重点を置き対応。

6.公式情報は公開されている?

今回の件に関して、SolarWindsは公式の声明を発表している。
www.solarwinds.com

  • 2020年12月13日発表時点で攻撃の影響を受けたソフトウェアビルドをダウンロードサイトから削除。
  • 2020.2 HF2では問題のあるコンポ―ネットの置き換えと追加的セキュリティ強化が講じられている。そのため該当バージョンする利用する全ユーザーに対しアップデートを推奨。
  • Orion Platformの他バージョン、および同製品以外に対する影響は確認されていない。
  • Orion Platformが含まれる18製品をアドバイザリで列挙している。
  • SUPERNOVAの発覚を受け、影響対象製品が追加されている。
改ざんされたビルド

SolarWinds社 Orion Platform ソフトウェアの次のバージョンが対象。

f:id:piyokango:20201230074101p:plain
影響を受けるバージョン一覧
影響を受けたOrion Platform を含む18製品のリスト

Application Centric Monitor (ACM)
Database Performance Analyzer Integration Module* (DPAIM*)
Enterprise Operations Console (EOC)
High Availability (HA)
IP Address Manager (IPAM)
Log Analyzer (LA)
Network Automation Manager (NAM)
Network Configuration Manager (NCM)
Network Operations Manager (NOM)
User Device Tracker (UDT)
Network Performance Monitor (NPM)
NetFlow Traffic Analyzer (NTA)
Server & Application Monitor (SAM)
Server Configuration Monitor (SCM)
Storage Resource Monitor (SRM)
Virtualization Manager (VMAN)
VoIP & Network Quality Manager (VNQM)
Web Performance Monitor (WPM)

SEC報告書に記載されたM365の侵害兆候
  • SolarWinds社がどのような攻撃を受けたためにバックドア入りのコンポーネントを配信したのかは公表されていない。
  • 今回の攻撃との関連は不明としつつ、SolarWindsは証券取引委員会への報告資料で同社が利用しているMicrosoft Office 365への攻撃兆候に関する記載を行っている。
  • 12月14日に提出された報告書では侵害が実際に成功したのか、侵害によるデータ流出の可能性などMircrosoft側に問合せ中としている。
  • 同社のFAQではコードベースでの侵害は確認されておらず、初期調査のレベルではソフトウェアのビルドシステムの問題が指摘されているとしている。
消された顧客リスト
  • SolarWindsは過去に顧客リストを掲載していた。現在そのページは削除されている。
  • 米フォーチュン500の内425社以上、米通信会社上位10社全て、5つの米軍支部、米会計事務所上位5社、世界中の大学などが利用しているとしていた。
f:id:piyokango:20201219071201p:plain
具体名を挙げた顧客リストも公開していた
CIツール関与の報道
  • JetBrains社の製品TeamCityがSolarwWinds社の不正アクセスに関係している可能性が報じられた。*22
  • TeamCityはCIおよびデリバリーを行うツール。ビルド、テスト、デプロイの機能がある。同製品はスタンドアロン型で運用されるものであり、セキュリティやACLなどエンドユーザーが設定に責任を負う。

JetBrains社は報道を受け見解を公表している。
ニューヨーク・タイムズ紙の JetBrains と SolarWinds 社に関する記事について
SolarWinds 社関連の報道に対する続報

  • JetBrains社は今回の不正アクセスへの直接的関与・加担」を強く否定。
  • SolarWinds社はJetBrains社のTeamCityを利用していることは事実。
  • 入手可能な情報は公開情報のみで、TeamCityが不正アクセスにかかわりがあるかSolarWinds社担当者は関係を認める証拠は確認されていないと取材にコメントしている。*23
  • これまで同社が入手した情報において、TeamCityにビルドプロセスの不正アクセスを可能とする脆弱性やバックドアが存在するという証拠は確認されていない。
  • これらの状況を踏まえ、JetBrains社は同社のツールが侵害されている可能性があるという情報、証拠の存在を認識していない。(よって同ツール利用によるリスクはないと結論)

7.攻撃に用いられたバックドアはどんなものだったの?

  • FireEyeは攻撃に用いられたバックドアをSUNBURSTと呼称。MicrosoftはSolorigateと呼称している。
  • アップデート関連として配布された標準のWindowsインストーラーパッチファイル(SolarWinds-Core-v2019.4.5220-Hotfix5.msp等)にバックドア機能を持つDLLが含まれていた。DLLファイルはOrion Platformソフトウェアに含まれるコンポーネントで、SolarWinds社のデジタル署名が行われている。
  • 対象のDLLファイルはSolarWinds.Orion.Core.BusinessLayer.dllで、正規の実行ファイルに読み込まれてから最大2週間(12日~14日)の休止期間後にavsvmcloud[.]comのサブドメインの名前解決を試みる。DNS応答を通じてC2ドメインを指すCNAMEレコードを取得する。サブドメイン名の生成アルゴリズムとして、被害組織を選択可能とするため、エンコードされたマシンドメイン名が使用される。
  • バックドアにはファイル転送、ファイル実行、システム調査、マシン再起動、サービスの無効化を含むジョブコマンドを実行機能が備わっていた。
  • 通信はOrion Improvement Program(OIP)プロトコルに偽装し、偵察した結果を正規のプラグイン構成ファイルに保存することで通常のアクティビティに潜ませることが可能。
  • ブロックリストを元にプロセス、サービス、ドライバーとして実行されるフォレンジックツール、ウイルス対策ソフトを識別する機能がある。
  • FireEyeはバックドア実行後に行われる攻撃の手口について次の特徴を挙げている。
TEARDROP、BEACONマルウェアの使用 メモリ上でのみ展開されるドロッパー(TEARDROP)をサービスとして実行し、Cobalt Strike BEACONを実行。
被害組織環境と攻撃者のホスト名の一致 被害組織の環境で発見した正規のホスト名をC2のホスト名と一致するように設定を行っていた。
被害組織国のIPアドレスの使用 仮想プライベートサーバーを使用し、被害者組織と同じ国のIPアドレスを使用していた。
複数の資格情報を使ったラテラルムーブメント リモートアクセスと内部で広がる際に使用する資格情報を異なるものを使用していた。
一時的なファイル、タスクの利用 正規のファイルをマルウェアに置き換え実行した後に復元したり、スケジューリングされたタスクを使ってツールを実行し元に戻したりしていた他、正規のアクセス権限を掌握した後はバックドアを削除。
  • 詳細な挙動はFireEyeの解析記事を参照

www.fireeye.com

バックドアの仕込み
  • SUNBURSTの仕込みに使用された「SUNSPOT」と呼称する別のマルウェアの存在をCrowdStrikeが報告している。

SUNSPOT: An Implant in the Build Process

  • SolarWindsのビルドサーバーの分析によりアップデートプログラムにSUNBURSTを入れ込むためにSUNSPOTによるプロセスハイジャックが行われた。
  • SUNSPOTにはビルド失敗による事態発覚を避けるため、複数のセーフガード機能が搭載されている。
avsvmcloud[.]comのテイクダウンとキルスイッチ化

  • SUNBURSTが接続するドメインavsvmcloud[.]comをMicrosoftが2020年12月13日頃に押収し、シンクホール化している。(現在は同社のIPアドレスが返される
  • バックドアがこのドメインから返されるIPアドレスに応じて条件次第で動作を終了する仕組みを持っているため、キルスイッチ化したことになる。
  • SUNBURST以外の手段で侵害の永続化行為が図られているケースが既に報告されており、あくまでもSUNBURSTに対して有効である点に注意が必要とされる。
  • ドメインの押収にはMicrosoft以外に、FireEye、GoDaddy、FBI、CISAが係っているとされる。*24
Symantec発行の証明書
  • SUNBURSTが含まれるコンポーネントはSymantecにより発行されたSolarWinds社のデジタル署名が行われていた。
  • NortonLifeLockは認証局事業は2018年にDigicertに売却を行っており、問題の証明書はNortonLifeLockのブランド名を使用したレガシー証明書だったと説明。
  • Digicert側に連絡し、問題の調査に当たっているとしている。
f:id:piyokango:20201219095706p:plain
問題のDLLのSolarWinds社署名
4つ目のマルウェア「Raindrop」

Raindrop: New Malware Discovered in SolarWinds Investigation

  • SymantecはCobaltStrikeの展開に使われるローダーとしてRaindropと呼称するマルウェアの報告を行っている。
  • TEARDROPと似ているが、前者はSUNBURSTにより配信されたものだが、Raindropは被害組織の全体拡散に用いられていたという。
  • SUNBURSTによりRaindropが配信されたというエビデンスは現在確認されていない。
  • Symantecが被害を確認した組織(1つ目)で、TEARDROPがインストールされてから11日後に、別の端末でbproxy.dlというRaindropのコピーが確認された。これ以外に2事例が確認されている。
  • カスタムパッカーを用いてCobaltStrikeBeaconのローダーとし手機能する。パッカーはTEARDROPとは異なるもの。
f:id:piyokango:20210130080202p:plain
2つマルウェアの違い(Symantec Blogより)

8.影響を受けた後何が起こる?

f:id:piyokango:20201220044255p:plain
各社が発表している一連の攻撃の流れ
(1) 資格情報の窃取

NortonLifeLockはSUNBRUSTの侵入以降に起こる資格情報の窃取について報告している。

  • SUNBURST ⇒ TEADROP ⇒ Cobalt Strike BEACONの順でペイロードを展開。(調査で確認された事例ではSUNBURST感染から21日後にTEARDROPが展開)
  • mimikatzの様な資格情報ダンプツールを使用し、lsass.exeから資格情報の取得を試みる。
  • Adfindを用いてActive Directoryにクエリを実行し、ドメインへのアクセス、ラテラルムーブメント用の資格情報(ドメイン管理者)の取得を試みる。

VOLEXITYは侵入後に見られた活動について報告している。

  • Exchangeサーバーに対してPowershellを使った様々な組織構成情報の入手(Get -ManagementRoleAssignmentGet-WebServicesVirtualDirectory、)とsqlceip.exeという名称のAdFindを使ったADに対するデータ窃取行為
  • Powershellによるタスク作成を利用したラテラルムーブメント

$scheduler = New-Object -ComObject (“Schedule.Service”);$scheduler.Connect($env:COMPUTERNAME);$folder = $scheduler.GetFolder(“\Microsoft\Windows\SoftwareProtectionPlatform”);$task = $folder.GetTask(“EventCacheManager”);$definition = $task.Definition;$definition.Settings.ExecutionTimeLimit = “PT0S”;$folder.RegisterTaskDefinition($task.Name,$definition,6,”System”,$null,5);echo “Done”

  • New-MailboxExportRequest Get-MailboxExport-Requestを使用したメールデータの窃取。データはアーカイブが行われHTTPにて取得可能な状態に設定が行われた。さらにSet-CASMailboxを使用してActiveSyncの許可IDとして独自デバイスの追加が行われた。
  • メールデータのエクスポート完了後はRemove-MailboxExportRequestを使ってエクスポート要求の証拠を削除。
(2) 偽造したSAMLトークンを使った侵害

MicrosoftはSAMLトークンを偽造した侵害の手口について報告している。同内容をCISAのアドバイザリにも掲載されている。

  • オンプレミス侵害後に取得した管理者権限を使用して、SAMLトークン証明書にアクセスし特権アカウントを含む既存アカウントになりすますSAMLトークンを偽造。
  • 偽造したSAMLトークンを使い、オンプレミス、クラウド環境に対し不正なログインを行う。(この時使用されるSAMLトークンは独自の信頼できる証明書で署名されていることから検知を見落としている可能性を指摘。)
  • この方法(あるいはそれ以外)で取得した特権アカウントを使い既存のアプリケーションプリンシパルに独自の資格情報を追加。アプリケーションに割当たった権限でAPIの呼び出しを行う。

9.他に関連した出来事は?

(1) VOLEXITYの報告

www.volexity.com

  • VOLEXITYは今回の事案に関連して2019年後半から2020年にかけ発生した3つの別のインシデントを調査していたことを公表した。この内2番目、3番目のインシデントの対応で得られた情報がブログで明らかにされている。
  • 同社はこのアクターをDark Haloと呼称し、このアクターの目的がシンクタンクの特定アカウント(幹部、ポリシーの専門家、IT関連の従業員)のメール入手にあったとしている。
  • 一連の調査結果から得られたC2ドメイン、バックドアサーバー等のインディケーター情報がFireEyeのレポートとの関連があると指摘。
事例2番目 OWAを介したメールアカウントへの不正アクセスを確認。当該アカウントはMFAによる保護下にあったが、Duoを介したMFAが行われていなかった。調査を通じ攻撃者がOWAサーバーからDuo統合秘密鍵にアクセス出来ていたことが判明し、この秘密鍵を使ってduo-sid Cookieに設定される値を事前に計算していたと判断。
事例3番目 2020年6月、7月に発生。Exchange環境で疑わしい管理コマンド、ActiveSyncの異常を発見している。特定アカウントのメールエクスポートが行われ、OWAサーバーを介してデータ窃取が行われていた。攻撃に使用された接続先の内2件でFireEyeが既に報告しているインディケーターとの重複が認められた。
  • DuoSecurityはVOLEXITYの記事に対し、OWAに対するDuoの統合に起因するもの(OWAサーバーの完全な掌握)でDuoの脆弱性ではないと見解を示している。*25
(2) VMwareの脆弱性も関連か
  • KrebsOnSecurityはSolarWinds社の件に関連してVMwareの脆弱性悪用の可能性を指摘している。
  • 脆弱性はCVE-2020-4006。2020年12月3日にセキュリティアップデートが行われている。報告元はNSA。
  • VMwareも自社ネットワークの一部でSolarWinds社のソフトウェアを利用していたが、これまで同社のサプライチェーン攻撃の組み合わせで用いられたとの通知や兆候、悪用に関する証拠は確認されていないとコメントしている。
  • コマンドインジェクションの脆弱性で、悪用の条件は攻撃者がパスワードを保有している必要がある。
  • NSAは2020年12月17日にSolarWinds社の件を含みつつ、VMwareの脆弱性を使ったSAMLトークンの偽造について言及したアドバイザリを公開している。
(3) SolarWinds社株の事前の売却
  • 事案発覚の数日前にSolarWinds社の投資家が株式数百万ドル相当を売却していたことが報じられてた。*26
  • Orionの件を受け、同社の株は22%相当の急落が起きており、事前に行われた売却への疑問が呈されている。
(4) アップデート配信サーバーに使用された脆弱なパスワード

  • 過去にSolarWinds社のアップデート配信サーバーdownloads.solarwinds.comに脆弱なパスワードsolarwinds123が利用されていたことが報じられた。*27
  • セキュリティ研究者のVinoth Kumar氏が発見したもので、2019年11月に同社へ報告が行われている。
  • Kumar氏は検証として、実際に同社サーバーにtest.txtを配置できたことを報告している。

その後、SolarWindsのセキュリティに対する考え方に疑問を抱いた関係者が内部の事情を吐露している。*28

  • 顧客に対しウイルス対策ソフトを無効化するよう案内を当時行っていた。(ページは既に削除されているという)
  • 社内システムの一部で古いWebブラウザやOSが稼働していることが珍しくなかった。
(5) 2019年10月に行われたテストラン
  • 2019年10月10日時点でSolarWindsのアップデート配信サーバーから攻撃者が介入したコンポーネントの配布が行われたと報じられた。ソースは運用の知識を持つ情報筋。*29
  • この時に配布されたコンポーネントはバックドアが含まれていなかったため、今回の事態まで検出されることがかなった。
  • 2019年10月の配布対象は数組織で確認されたが、更なる悪意ある活動を行ったとする兆候は確認されていない。
  • 調査関係者はこの配布を行った目的を機能するかどうかと検出有無の確認を行うテスト目的だった可能性を指摘している。
(6) FireEyeが攻撃に気づいたキッカケ
  • FireEyeが今回の攻撃に気づいたキッカケが同社のMFAソリューションに端末登録が行われたことであったと報じられた。*30
  • 当該行為を通じてアラートが生成され、これのフォローアップ(登録端末を該当従業員が自身の所有物ではないと確認)を受けたことで事案が発覚したとされる。
  • この時点で従業員のユーザー名、パスワードを保有していたが、同社の従業員が何らかのフィッシング攻撃などを受けた可能性は否定している。
  • このMFAを使ってFireEyeの社内へのVPN接続が可能となる。
(7) DGAドメイン復号から影響組織の推定

  • SUNBURSTが使用するDGAドメインに対し、デコードを試みる動きがある。
  • デコード結果にはCiscoやIntelを想起させる文字列が含まれていたと報告されている。
  • FireEyeはバックドアがアクティブなC2への通信を開始する可能性があるとしつつ、ほとんどは発生しておらず、ターゲットではないバックドアは攻撃者側が無効化しているとして、このデコードから特定された組織がそのままその後の攻撃を受けたことは想定できないとした。
(8) 別グループによる活動も浮上
  • Microsoftへの取材によれば、SUNBURSTに絡む活動とは別のグループによる行為が確認されたと報じられている。同社はブログの「Additional malware discovered」でこの件を取り上げている。
  • SUPERNOVAと呼称されたWebshellタイプのマルウエアで、SUNBURSTとは異なりデジタル署名は行われていない。
  • このことから内部システムへのアクセスは行われていない可能性がある。コンパイルされた時期より3月下旬頃に作成されたものとみられる。
  • 誰がターゲットとなったのか等詳細は不明で、SolarWindsは12月18日時点でSUPERNOVAに関連する声明は出していない。
  • SUPERNOVAに関連する検出ルールはunattributedのディレクトリにFireEyeが12月17日に格納していた。
  • SUPERNOVAは製品の脆弱性を悪用していることも判明。CVE-2020-10148として管理されている。

Secureworks は SPIRAL と同社が呼称するグループとの関連について指摘する記事を公開した。

(9) MSライセンスベンダ経由の攻撃も発覚

①CrowdStrike
CrowdStrike Launches Free Tool to Identify and Help Mitigate Risks in Azure Active Directory(CrowdStrike)

  • CrowdStrikeがMSのライセンス管理を行うベンダーを経由した不正アクセスの試行を受けていたことが発覚。
  • CrowdStrikeはMicrosoftからの情報提供を通じ、把握したことをブログにて報告。

②MalwareBytes
Malwarebytes targeted by Nation State Actor implicated in SolarWinds breach. Evidence suggests abuse of privileged access to Microsoft Office 365 and Azure environments

  • 報告されたTTPに合致するMS365のサードパーティによる不審な挙動関連の情報を受領。
  • 休止状態の電子メール保護製品を利用し、社内の限られたアクセスを許可していた。同社の運用環境ではAzureは使用されていない。
  • ソースコードやビルドシステム、配信基盤等の調査を行ったが、侵害の証拠は確認されていない。
(10) コード署名証明書の再発行

SolarWinds New Digital Code-Signing Certificate

  • SolarWindsはSUNBURSTの脆弱性への対応の一環として、現在使用するコード署名証明書を2021年3月8日に取り消しすると発表。
  • この取り消しにより、すべての製品が影響を受けたことを意味するわけではないが、OSやセキュリティ製品などの影響を受ける恐れがあるとしている。
  • FAQも公開されており、更新が必要な製品やユーザーへの対応として製品のアップデートか製品の再インストールを行う案内をしている。

関連情報

セキュリティ企業等の発表、報告

更新履歴

  • 2020年12月20日 AM 新規作成
  • 2020年12月21日 PM 情報追加(SUPERNOVA、Ciscoへの影響など)
  • 2020年12月22日 PM 続報追加(被害組織情報など)
  • 2020年12月30日 AM 続報追加(対象バージョンの追加)
  • 2021年1月6日 PM 続報追加(UCGの共同声明を追加)
  • 2021年1月10日 PM 続報追加(JetBrainsの関連報道を追加)
  • 2021年1月30日 PM 続報追加(Reindropの情報など追加)

*1:期間中アクティブな保守対象顧客数3万3千件に対し通知を行っているが、その後の調査により対象が絞られたことが報告されている

*2:ホワイトハウスが連日緊急協議、ロシア関与疑惑ハッカー攻撃で-関係者,Bloomberg,2020年12月17日

*3:At Least 200 Victims Identified in Suspected Russian Hacking,Bloomberg,2020年12月20日

*4:More Hacking Attacks Found as Officials Warn of ‘Grave Risk’ to U.S. Government,The NewYork Times,2020年12月18日

*5:U.S. Homeland Security, thousands of businesses scramble after suspected Russian hack,Reuters,2020年12月15日

*6:Microsoft says it found malicious software in its systems,Reuters,2020年12月18日

*7:'Massively disruptive' cyber crisis engulfs multiple agencies,POLITICO,2020年12月14日

*8:Nuclear weapons agency breached amid massive cyber onslaught,POLITICO,2020年12月17日

*9:Cisco Latest Victim of Russian Cyber-Attack Using SolarWinds,Bloomberg,2020年12月19日

*10:SolarWinds hackers broke into U.S. cable firm and Arizona county, web records show,Reuters,2020年12月19日

*11:SolarWinds Hack Victims: From Tech Companies to a Hospital and University,THE WALLSTREET JOURNAL,2020年12月21日

*12:SolarWinds Hack: Cisco And Equifax Amongst Corporate Giants Finding Malware... But No Sign Of Russian Spies,Forbes,2020年12月19日

*13:RUSSIAN HACKERS HAVE BEEN INSIDE AUSTIN CITY NETWORK FOR MONTHS,The Intercept,2020年12月18日

*14:米財務省、サイバー攻撃の被害なし コロナ支援金来週にも=長官,Reuters,2020年12月22日

*15:Suspected Russian hackers spied on U.S. Treasury emails - sources,Reuters,2020年12月14日

*16:米政府機関、ハッキング被害で情報流出 ロシアの集団が関与か,CNN,2020年12月14日

*17:ロシア関与疑惑ハッキング、米政権・専門企業は数カ月検知できず,THE WALLSTREET JOUNAL,2020年12月15日

*18:米安保担当大統領補佐官、欧州歴訪短縮し帰国-サイバー攻撃受け,Bloomberg,2020年12月16日

*19:大規模サイバー攻撃、米ロ対立の新たな火種に,日本経済新聞,2020年12月20日

*20:サイバー攻撃への対応、制裁にとどまらず=次期米大統領首席補佐官,Reuters,2020年12月21日

*21:米サイバー攻撃、トランプ氏「中国の可能性」言及…露の関与明言するポンペオ長官と矛盾,読売新聞,2020年12月20日

*22:Widely Used Software Company May Be Entry Point for Huge U.S. Hacking,The NewYork Times,2021年1月6日

*23:SolarWinds Hack Breached Justice Department System,THE WALLSTREET JOURNAL,2021年1月6日

*24:Microsoft and industry partners seize key domain used in SolarWinds hack,ZDnet,2020年12月15日

*25:SolarWinds hackers have a clever way to bypass multi-factor authentication,ARSTECHNICA,2020年12月15日

*26:Investors in SolarWinds sold millions in stock before Russia breach revealed - The Washington Post,TheWashingtonPost,2020年12月18日

*27:Hackers used SolarWinds' dominance against it in sprawling spy campaign,Reuters,2020年12月16日

*28:SolarWinds Adviser Warned of Lax Security Years Before Hack,Bloomberg,2020年12月22日

*29:Hackers last year conducted a 'dry run' of SolarWinds breach,Yahoo!News,2020年12月19日

*30:How suspected Russian hackers outed their massive cyberattack,POLITICO,2020年12月16日