中国の国家安全部とつながりのあるハッキンググループによって実行された攻撃について、アメリカのサイバーセキュリティおよびインフラストラクチャーセキュリティ庁(CISA)は2020年9月14日、セキュリティ勧告を発表しました。ハッキンググループはMicrosoft Exchange Serverのほか、Pulse SecureやCitrixのVPN、F5ネットワークスのBIG-IP製品シリーズなどの脆弱性を利用し、政府機関や民間企業を攻撃しているとのことです。
CISAの勧告によると、ハッキンググループはまず、デバイス検索エンジンの「Shodan」や「Common Vulnerabilities and Exposures(CVE)」「National Vulnerability Database(NVD)」といったデータベースを利用して脆弱性を持つデバイスを見つけ出します。
CISAが確認している、主なターゲットとなった脆弱性は以下の通り。
・CVE-2020-5902(F5 BIG-IP)
・CVE-2019-19781(Citrix)
・CVE-2019-11510(Pulse Secure)
・CVE-2020-0688(Microsoft Exchange Server)
ハッキンググループは脆弱性を介してネットワークに接続したあと、「Cobalt Strike」と呼ばれる攻撃フレームワークやWebシェルの「China Chopper」、管理者の資格情報を取得する「Mimikatz」といったツールを用いて、ネットワークの完全なコントロールを手に入れようと試みるとのこと。CISAはMicrosoft Exchange Serverの「CVE-2020-0688」を利用して連邦政府機関のサーバーからメールを収集する動きが見られたことも報告しており、ハッカーたちが試みた組織ネットワークや収集データへのアクセスのうち、いくつかが成功したと述べています。
CISAは「重大な脆弱性に対しパッチが施されない場合、攻撃者はカスタムマルウェアを開発したり、これまでに見つかっていない脆弱性を探しだす必要なしに、攻撃を成功させることができます」と述べ、上記の脆弱性が利用されることを防ぐべく、政府機関や民間企業に対しパッチの適用を呼びかけました。
一方で、ハッキンググループはデバイスの脆弱性をターゲットとする方法以外にも、従来型のスピア・フィッシングや弱い資格情報を狙った総当たり攻撃を含めたさまざまな方法により攻撃を行っていると、CISAは警告しています。
また、CISAのTerence Jackson氏はCISAの助言が「組織はパッチ管理を最新にしておく必要があるという事実に光をあてたもの」と述べています。Jackson氏は(PDFファイル)Check Point Researchのレポートに言及し、2020年の上半期に報告された攻撃の80%が2017年までに登録されていた脆弱性を利用したものであり、全体の20%以上が7年前以上前に報告された脆弱性を利用していたことを指摘しました。