「ロシア情報局のハッカーグループがサイバー攻撃を仕掛けてきている」とアメリカ国家安全保障局が公式に警告

2020年5月28日、アメリカ国防総省の情報機関である国家安全保障局(NSA)が「ロシア連邦軍参謀本部情報総局(GRU)のハッカーグループがメール転送エージェントの一種であるEximの脆弱性を突いてサイバー攻撃を仕掛けてきている」と政府パートナーと民間企業に警告しました。

Exim Mail Transfer Agent Actively Exploited by Russian GRU Cyber Actors > National Security Agency Central Security Service > Article View

NSAが明かしたのは、APT攻撃グループの中でもGRUが直接関与しているとされる組織「Sandworm」が実際に使用したとみられるEximの脆弱性です。この脆弱性は、SMTPにおける「MAIL FORM」フィールドに悪意のあるコマンドを挿入すると、リモートからルート権限でコマンドを強制実行させる電子メールを送信できるようになるというもの。以下が悪意のあるコマンドの例です。

攻撃者はこの脆弱性を利用することで、特定のプログラムをインストールさせ、データを改変し、新しいアカウントを作成することも可能でした。この脆弱性は、「CVE-2019-10149」という分類コードが付けられており、2019年6月に配布されたEximのセキュリティパッチによって修正されましたが、NSAは「2019年8月以降もAPT攻撃グループによる同脆弱性を突いた攻撃が続けられてきた」と主張しています。

NSAによると、Sandwormはこの脆弱性を突くことで、Sandwormが制御するドメインからシェルスクリプトをダウンロードさせて、特権ユーザーを追加し、ネットワークセキュリティ設定を無効化。さらに、追加のリモートアクセスを有効にするSSH設定を更新して追加のスクリプトを実行し、続く攻撃に対して無防備な状態にするという攻撃を行ってきたとのこと。

Sandwormは大規模なサイバー攻撃を世界的に展開してきた組織です。2015年と2016年にウクライナで大規模停電を引き起こしたマルウェア「CrashOverRide」や、中央銀行や国営通信、チェルノブイリ原子力発電所をシステムダウンさせた「NotPetya」は、Sandwormがサイバー攻撃に使用したものとみられています。