西側諸国のアマゾン・ウェブ・サービス(AWS)のインフラ利用者を標的とした5年にわたるサイバー攻撃が、継続的な分析を経て、アマゾンの脅威インテリジェンス・チームにより確認された。この脅威は、Sandworm(サンドワーム。APT44、Seashell Blizzardなどとも)と呼ばれる攻撃主体と結び付けられており、ロシアの軍事情報機関である参謀本部情報総局(GRU)と協働するハッカーに関連するとされる。さらに不気味なことに、アマゾンの最高セキュリティ責任者は、北朝鮮の工作員による執拗な脅威が「大規模」に存在することも確認した。
ロシアの攻撃は、AWSインフラ上でホストされるデバイスの「設定ミス」が標的――脆弱性は狙いではない
ロシア国家支援のサイバー攻撃は「重要インフラを標的とした攻撃における大きな進化」を示すものだと、CJ・モーゼスが12月15日の分析で述べた。モーゼスは、かつて米連邦捜査局(FBI)サイバー部門で、コンピューターおよびネットワーク侵入分析の技術リードを務め、現在はAmazon Integrated Security(アマゾン・インテグレーテッド・セキュリティ)の最高情報セキュリティ責任者(CISO)を務める人物だ。
AWS顧客の「設定不備」を初期侵入経路にすることで、露見の機会を減らす
なぜ「大きな進化」なのか。モーゼスの説明によれば、今やロシアの攻撃は脆弱性の悪用が支配的ではなく、むしろ「戦術的に方向転換し、顧客のネットワーク・エッジ・デバイスの設定不備のようなものが、主要な初期侵入経路になりました」という。
どれだけパッチを適用しても、デバイスの設定を誤ったままにしていれば、玄関には高価で頑丈な鍵を付けつつ、二階の窓を開け放ち、しかも梯子まで置いているようなものだ。
攻撃者、とりわけ最も高度な者たち――そしてこのカテゴリーに入るロシア国家支援の高度持続的脅威(APT)グループ――は、露見を減らすため、脆弱性の悪用よりも「取りやすい果実」を優先して狙う。結局のところ、モーゼスが述べたように、「この戦術的適応により、同じような成果、すなわち認証情報の収集や、被害組織のオンラインサービスおよびインフラへの横展開が可能になります」ということだ。
ロシアのハッキング活動は少なくとも2021年から継続
モーゼスによれば、このロシアのハッキング作戦は少なくとも2021年以降継続しており、グローバルなインフラを標的としつつも、特に北米と欧州の西側エネルギー部門に焦点を当てている。
モーゼスは、攻撃者がAWS上でホストされているインフラを侵害していることが観測されていると語る。さらに、アマゾンのテレメトリー(遠隔測定)は「AWS上でホストされている顧客のネットワーク・エッジ・デバイスに対する協調的な作戦」を示していると付け加えた。問題はAWS側に固有の弱点があるというより、顧客側で設定を誤ったデバイスにあるという。
Black Duck(ブラックダック)のシニア・サイバーセキュリティ・ソリューション・アーキテクトであるクリッサ・コンスタンティンは、「この傾向は実用性に駆動されています。設定に不備のあるネットワーク・エッジ・デバイス、露出した管理インターフェース、そして過度に緩いIDは、低コストで信頼できる侵入口となり、長期間にわたり検知されないまま残り得ます」と警告した。このアプローチは意図的であり、ゼロデイから離れることで攻撃者の能力が低下したことを示すものでは決してない。「設定不備の悪用は正当な管理者活動に違和感なく溶け込み、検知と帰属の特定を大幅に難しくします」とコンスタンティンは結論づけた。
