Solarwinds侵害の関連情報

Sunburstとは?

このクラスタは我々がまだ追跡中のものです。そしてそのふるまいから、国家支援を受けた活動だと推測されます。同キャンペーンの黒幕である攻撃者は、世界中数多くの公的/民間組織へアクセスしています。攻撃者は、SolarWind Orion IT モニタリング、およびマネージメント・ソフトウェアのアップデートをトロイの木馬化することで、被害組織へのアクセスを可能にしました。

影響を受けたのはどこの組織ですか?

同攻撃は、ソフトウェア・サプライチェーンを利用して公的、民間を問わず世界中の組織のネットワークへ侵害をもたらしました。現時点で、世界中の複数の組織で同活動を検知しています。影響を受けた組織には、北米、ヨーロッパ、アジア、中東の各政府、および、コンサルティング、技術、医療、電気通信、石油・ガス産業の組織などがあります。他の国や産業にも影響がある可能性があります。

攻撃者の動機は?

UNC2452は、データの窃取によるエスピオナージ（スパイ活動）を動機としている可能性が高いです。同攻撃者による恐喝や金銭目的の犯罪を示すインジケータは今のところ見つかっていません。また、同攻撃者はSUNBURSTマルウェアを利用しており、既知のランサムウェアとの関連性もありません。

攻撃者はどうやってFireEye環境にアクセスしたのですか?

FireEyeの最新の調査結果から、SolarWinds に対する侵害がFireEyeへの攻撃のきっかけとなったベクターだと断定しました。これは、攻撃者が高度な技術を使ってFireEyeネットワークに侵入する前に用いた、一番はじめの攻撃ベクターであったと考えています。技術、脅威インテリジェンス、経験を活用し、FireEyeはSUNBURSTキャンペーンについて明らかにしました。

活動のタイムラインは?

FireEyeが発見した同キャンペーンは、少なくとも2020年の春には開始されていたと見られ、現在も進行中です。同キャンペーンは非常に高いスキルを持つ攻撃者によるものであり、キャンペーンは高度に熟練したアクターの作業であり、高度なセキュリティオペレーション能力のもとに実施されています。FireEyeの分析では、キャンペーンの一貫として実行されたと思われるこれらの攻撃は、以下のようなの共有要素を持つと思われます。

FireEye製品はSolarWinds侵害の影響を受けますか?

受けません。改変されたSolarWinds バイナリを検知できるよう、製品はすでにアップデート済みです。また、この攻撃者のあらゆる活動痕跡をスキャン続けており、侵害の可能性のある痕跡が見つかった場合にはご連絡をしています。

攻撃者は誰だったのですか?

FireEyeは、このキャンペーンの背後にいる攻撃者をUNC2452として追跡中です。UNCとは 「未分類 (UNCategorized)」のグループを意味する、FireEye Mandiant におけるインテリジェンスの命名ルールに基づく分類です。

どのようにしてこの侵入を検知したのですか?

二要素認証の二重登録が不審な活動として報告されたことから、同侵入を検知しました。