ジョンP.デズモンド、AIトレンドエディター
SolarWindsのハッカーは、クラウドサービスを主要な目的として標的にしており、組織のクラウドベースのサービスのすべてではないにしても多くにアクセスできる可能性があるようです。
これはのアカウントからです GeekWire クリストファーバッドによって書かれた、 i以前にマイクロソフトのセキュリティレスポンスセンターで10年間働いた独立したセキュリティコンサルタント。
"さまざまなレポートをデコードしてドットを接続すると、SolarWindsの攻撃者が侵害されたネットワーク上の認証システムを標的にしていることがわかります。そのため、攻撃者はアラームを発生させることなくMicrosoft Office365などのクラウドベースのサービスにログインできます」とBuddは書いています。 「さらに悪いことに、彼らがこれを実行している方法は、組織のクラウドベースのサービスのすべてではないにしても、多くにアクセスするために使用される可能性があります。」
その意味するところは、攻撃の影響を評価する人は、自分のシステムやネットワークだけでなく、クラウドベースのサービスも調べて侵害の証拠を探す必要があるということです。 そしてそれは、攻撃から防御することは、「これから」、クラウドサービス認証システムのセキュリティと監視を強化することを意味します。
バッドはこれらの重要なポイントを引用しました:
- ネットワークに足場を確立した後、SolarWindsの攻撃者は、クラウドベースのサービスで使用されるIDの証明を発行するシステムを標的にします。 IDの発行に使用される手段を盗みます。
- この機能を取得すると、正当なユーザーになりすますことができる偽のIDを作成したり、管理アクセス権を持つアカウントなど、正当と思われる悪意のあるアカウントを作成したりできます。
- IDは、クラウドベースのアカウントによるデータとサービスへのアクセスを提供するために使用されるため、攻撃者は、正当なユーザーであるかのようにデータと電子メールにアクセスできます。
ターゲットを絞ったクラウドサービスのSAML認証方法
クラウドベースのサービスは、Security Assertion Markup Language(SAML)と呼ばれる認証方法を使用します。これは、サービスに対して正当なユーザーのIDの「証明」であるトークンを発行します。 Buddは、Microsoftブログへの一連の投稿に基づいて、SAMLサービスが標的にされていることを確認しました。 このタイプの攻撃は2017年に最初に見られましたが、「これは、クラウドベースの認証メカニズムを対象としたこの種の幅広い可視性を備えた最初の主要な攻撃です」とバッド氏は述べています。
BuddがMicrosoftに尋ねた質問に対して、この攻撃の原因となった脆弱性を会社が知っているかどうかについて、彼は次の回答を得ました。「これらの調査では、Microsoft製品またはクラウドサービスの脆弱性は特定されていません。 ネットワークに侵入すると、侵入者は足場を使用して特権を取得し、その特権を使用してアクセスを取得します。」
国家安全保障局からの回答も同様で、攻撃者は「フェデレーション認証を悪用」することで、Microsoft認証システムの脆弱性を悪用せず、「統合されたコンポーネント間で確立された信頼を悪用した」と述べています。
また、SolarWinds攻撃は、Microsoftのクラウドベースのサービスを介して発生しましたが、Microsoftだけでなくクラウドベースのサービスのベンダーによって広く使用されているSAMLオープンスタンダードが関係していました。 「SolarWinds攻撃および将来のクラウドサービスに対するこの種のSAMLベースの攻撃には、Microsoft以外のSAMLプロバイダーおよびクラウドサービスプロバイダーが関与する可能性があります」とBudd氏は述べています。
アメリカの諜報機関は、ロシアの居心地の良いクマに起因する攻撃を見ています
アメリカの諜報当局は、攻撃はロシアから始まったと信じています。 具体的には、からの報告によると エコノミスト、ロシアの諜報機関の一部であると考えられているコージーベアとして知られている攻撃者のグループが責任を負っていました。 「これは、アメリカに対するデジタルスパイ活動の史上最大の行為のXNUMXつであるように思われます」とアカウントは述べています。
攻撃が実証された 同じく被害者だったサイバーセキュリティ企業であるFireEyeによると、「一流の運用トレードクラフト」です。
アメリカは、攻撃者の目的に応じて、過去XNUMX年間に発生したサイバー攻撃を分類して対応する傾向があります。 秘密を盗むことを目的とした侵入と見なされています - 昔ながらのスパイ - 米国国家安全保障局も取り組んでいる公正なゲームとして。しかし、2014年の北朝鮮のソニーピクチャーズへの攻撃や中国の産業秘密の盗難など、危害を加えることを目的とした攻撃は一線を越えていると見られている、とアカウントは示唆している。 したがって、制裁は多くのロシア、中国、北朝鮮、イランのハッカーに課されてきました。
ソーラーウィンズ攻撃は独自のカテゴリーを作成したようです。 「秘密で混沌とした競争の場に規範を刻印するこの努力は成功していません」と エコノミスト アカウントが記載されています。 「スパイ活動とSubversionの境界線はあいまいです。」
あるオブザーバーは、2015年に人事管理責任者(OPM)がハッキングされて以来、アメリカは「サイバースペースで許可されていること」に対する寛容性が低下していると見ています。バックグラウンドチェックを受けていた、そして友人や家族。 中国政府に代わって活動している国が後援するハッカーが責任を負っていると信じられていた。
チューリッヒの安全保障研究センターのマックス・スミーツ氏は、「このような大規模なスパイ活動は、「容認できないと見なされる作戦のリストのトップになります」と述べています。
よりリスクが高いと見なされる「オンプレミス」ソフトウェア
SolarWinds Orion製品は「オンプレミス」でインストールされます。つまり、ソフトウェアを使用して組織の敷地内のコンピューターにインストールされ、実行されます。 このような製品には、ITリーダーシップが慎重に行う必要のあるセキュリティリスクが伴います。 評価する、の最近のアカウントを提案しました イーウィーク.
SolarWindsの攻撃者は、侵害されたソフトウェアパッチを使用してエントリを取得したようです、とBigPandaのセキュリティおよびITディレクターであるWilliam Whiteは、ITシステムの問題を検出および分析するためのAIソフトウェアを提供していると示唆しました。 「「オンプレミスソフトウェアでは、ソフトウェアを実行するために昇格されたアクセス許可または高度に特権のあるアカウントを付与する必要があり、リスクが発生します」と彼は述べています。
SolarWinds攻撃は明らかにソフトウェアパッチを介して実行されたため、「皮肉なことに、最も露出されたSolarWindsの顧客は、Orionパッチのインストールに実際に熱心だった顧客でした」とWhite氏は述べています。
のソース記事を読む GeekWire, エコノミスト & in イーウィーク.
出典:https://www.aitrends.com/security/solarwinds-hackers-targeted-cloud-services-as-a-key-objective/