国連の関係者は昨年XNUMX月にハッカーがジュネーブとウィーンでITシステムを侵害したことを発見したと伝えられていますが、サイバースパイ攻撃は水曜日に明らかになるまで非公開のままでした。 露出しました The New Humanitarian(TNH)。
かつて国連人道問題調整事務所の後援の下で運営されていたTNHは、ハックの特定の詳細を共有した20年2019月XNUMX日付の国連内部警告を取得した後、事件を知りました。 その後、ジュネーブの国連事務所が作成した警告のコピーが AP通信と共有.
巧妙な攻撃は、ジュネーブとウィーンの国連本部の複数のサーバーと、ジュネーブの人権高等弁務官事務所の複数のサーバーに影響を与えたと伝えられています。 国連事務総長のスポークスマン、ステファン・デュジャリックは、ハックが「コアインフラストラクチャコンポーネント」に影響を与えたことをTNHに認めたと伝えられています。
侵入は30月中旬に発生し、その後4,000月XNUMX日に発見されましたが、影響を受ける施設のほとんどのスタッフ(合計約XNUMX人のスタッフ)には、データが侵害された可能性があることは通知されませんでした。 言われたのは、社内のITチームと、ジュネーブとウィーンの主要オフィスの責任者だけでした。
国連はGDPRなどのグローバルなプライバシー規制の対象ではありません。つまり、侵害を開示しないことを選択した場合、組織は免責をもって行動することができる、と法務専門家を挙げてTNHは述べました。
APは、42台のサーバーが侵害されていることが確認され、さらに25台が影響を受けている可能性があると報告しました。 組織の「隠蔽文化」について不満を述べたある匿名の国連IT高官は、推定400 GBのデータがダウンロードされたとTNHに語ったが、どのデータがどのくらいの量で取得されたかは正確には確認されていない。
国連の警告は、内部文書、データベース、電子メール、商業情報、個人データが流出した可能性があることを示唆しているとTNHは報告しています。 攻撃者は、管理者アカウントを侵害し、少なくともXNUMXつのActive Directoryを盗んだと報告されています。国連のレポートでは、ユーザーデータ、人事および健康保険システム、追加のデータベースおよびネットワークリソースがリストされています。 このような豊富な情報は、フィッシングメールなど、影響を受ける国連職員に対する将来の標的型攻撃を促進するために使用される可能性があります。
で プレスブリーフィング 今日、ドゥジャリックは違反の影響を軽視しました。 国連が人道的および人権、パートナー組織、援助機関に関する機密データを運ぶコンピューターへの攻撃を公表しなかった理由を尋ねられた、スポークスパーソンは答えました。「あなたが言及しているジュネーブのサーバーは開発環境の一部であり、 Webアプリケーションに使用されるXNUMXつの開発サーバーからの機密性の低いテストデータが含まれていました。 通知が必要な人には通知されました。」
以前、TNHは、「事件の正確な性質と範囲を決定することができなかったため」、国連事務所は違反を開示しないことを選択したとDujarricが出版物に語ったと述べた。
「…国連はどの組織や個人とも変わりません。 将来の攻撃の脅威は続き、国連…私たちの事務局の同僚は、日々さまざまなレベルの高度な複数の攻撃を検出し、対応しています」とデュジャリックは記者会見で述べました。 「この特定の攻撃…は画期的な出来事ではありません。彼は続けて、「国連のITインフラストラクチャを攻撃する試みが頻繁に発生する」と指摘しました。
声明で、ジュネーブの人権局はActive Directoryが盗まれたことを認めたが、ハッカーが通常のシステムに接続されていない開発サーバーに侵入したため、機密データは影響を受けないと述べた。
「ハッカーは2019年XNUMX月にシステムの自己完結型の部分にアクセスしましたが、アクセスした開発サーバーは機密データや機密情報を保持していませんでした」と声明は読みました。 「ハッカーは、スタッフとデバイスのユーザーIDを含むActive User Directoryにアクセスしました。 ただし、パスワードへのアクセスに成功しませんでした。 システムの他の部分にもアクセスできませんでした。」
「攻撃に気付いた後、影響を受けた開発サーバーをシャットダウンするための措置を講じました」と声明は続けました。
攻撃者は不明のままですが、Dujarricはブリーフィングで、この事件は「すべてのアカウントからの、十分なリソースを備えた攻撃」であることに気付きました。
「国連がスパイ活動の目的で国が後援している可能性が高い高度な持続的脅威(APT)の犠牲者だったというニュースは、それほど驚くべきことではありません」と、パンダセキュリティのエンジニアリングおよびテクニカルサポートディレクターであるルイロペスは述べています。 :国連は、複数の州や組織が手に入れたいと考えている重要なデータを世界規模で維持しており、このレベルの洗練度はその目的を示しています。 驚くべきことに、国連のITセキュリティ戦略には、データアクセスの監視と制御、脅威のハンティングなど、強力なエンドポイント保護体制が含まれていない可能性があります。これにより、悪意のある人物が膨大な量のデータを盗み出すことができます。」
SCVXのCTO兼取締役であるハンクトーマスは、攻撃者の動機について次のように推測しています。「ウィーンと国連はどちらも、世界の諜報機関とセキュリティサービスの頻繁な踏み台として知られています。 標的は…加害者が、彼らが国連からどのような通知表を受け取っているかを見て、彼らの悪い成績をどのように変えるかを見据えている独裁政権であることを示唆している」とトーマスはSCメディアに語った。 「この背後にいる人は誰でも、主要な利害関係者を特定し、彼らの悪い行動をますます見落とし、国連が国内での人権侵害に関する情報を収集するために使用している情報源について学ぶために彼らを募集しようとしていると思います。」
APによると、国連の報告によると、攻撃者はMicrosoftのSharePointソフトウェアの欠陥を悪用して未知のマルウェアを配信しました。 「長年、これらのアプリの脆弱性攻撃は、運用を成功裏に妨害し、機密情報を漏らしてきました」と、WhiteHat SecurityのCEOであるCraig Hinkleyは、電子メールでコメントしました。
Comae Technologiesの創設者であるセキュリティ研究者のMatt Suicheは、報告書をレビューし、国連麻薬犯罪事務所の腐敗防止トラッカーを介して攻撃者が侵入した可能性があるとAPに伝えたと伝えられています。
DujarricはTNHに、2019年XNUMX月に国連がITインフラストラクチャの再構築、キーと資格情報の交換、さらに技術的および手続き的制御の追加を必要とする「包括的封じ込め、緩和、回復計画」に合意したと伝えました。
