概要
Amazonの脅威インテリジェンスチームが発表した最新の調査によると、ロシア関連のハッカー集団が2021年以降、エッジデバイスの脆弱性を悪用して重要インフラ組織を標的にしていることが明らかになりました。この攻撃は、既知の脆弱性を悪用するという手口に移行しており、サイバーセキュリティ上の新たな懸念となっています。
Amazonの研究者は、ハッカーがゼロデイ攻撃やNデイ攻撃への投資を減らし、既知の脆弱性を持つ設定ミスのある顧客を標的とすることに注力していると指摘しています。
攻撃の手口
攻撃者は、ファイアウォールやネットワーク管理インターフェースなどのエッジデバイスの脆弱性を悪用して侵入します。デバイスを侵害した後、ネットワークトラフィックを傍受し、ログイン認証情報を窃取。これらの認証情報を使ってクラウドプラットフォームにアクセスし、被害組織の環境に深く潜り込んでいました。
Amazonは、ハッカーが既知だが未パッチの脆弱性を標的にすることで、作業負荷を大幅に軽減し、発見される可能性を低減しつつ、認証情報の収集や被害組織のオンラインサービスおよびインフラへの横断的な移動といった同じ成果を維持していると分析しています。
標的と影響
このハッカー集団は、インフラと標的がロシアの悪名高いサンドワーム作戦と重なることから、ロシア軍情報機関(GRU)に関連しているとされています。主な標的は以下の通りです。
- 電力会社
- エネルギー分野を専門とするマネージドサービスプロバイダー
- 通信会社
- クラウドコラボレーションプラットフォーム
- ソースコードデータベース
被害者の大半は北米、ヨーロッパ、中東に集中しており、Amazonは「エネルギー部門のサプライチェーン、つまり直接の事業者と重要インフラネットワークへのアクセスを持つ第三者サービスプロバイダーの両方に継続的に焦点を当てている」と強調しています。
推奨される対策
Amazonは、この種の攻撃の被害者にならないために、以下の予防的なサイバー防御措置を講じることを推奨しています。
- すべてのエッジデバイスを即座に検査し、攻撃者による侵害やネットワークトラフィック傍受の兆候がないか確認する。
- 強力な認証を強制する。
- ネットワークをセグメント化する。
- 疑わしいログイン試行をレビューする。
- デバイスの不必要なインターネット公開を減らす。
また、Amazonのクラウドプラットフォームの利用者は、ユーザーアクセスを制限し、脆弱性をスキャンし、疑わしい活動をログに記録するための特定の機能を有効にすることが奨励されています。