SUNBURST関連情報

SUNBURST FAQs

攻撃者の動機は？

UNC2452は、データの窃取によるエスピオナージ(スパイ活動)を動機としている可能性が高いです。同攻撃者による恐喝や金銭目的の犯罪を示すインジケータは今のところ見つかっていません。また、同攻撃者はSUNBURSTマルウェア(下記参照)を利用しており、既知のランサムウェアとの関連性もありません。

このキャンペーンはどれくらいの期間、発生していたのですか？

FireEyeが発見した同キャンペーンは、少なくとも2020年の春には開始されていたと見られ、現在も進行中です。同キャンペーンは非常に高いスキルを持つ攻撃者によるものであり、キャンペーンは高度に熟練したアクターの作業であり、高度なセキュリティオペレーション能力のもとに実施されています。FireEyeの分析では、キャンペーンの一貫として実行されたと思われるこれらの攻撃は、以下のようなの共有要素を持つと思われます：

• SolarWindsアップデートの悪用：Solar Winds Orion ソフトウェアの正規のアップデートに不正コードを紛れ込ませることで、攻撃対象の環境に対するリモートアクセスを可能に
• 少量のマルウェアの利用：限られたマルウェアを利用し、検知を逃れながら目的を達成
• ステルス性を重要視：正常なネットワーク活動に長期間紛れ込む
• 高度なオペレーション：念入りに予備調査を行い、活動痕跡を隠蔽し、アトリビュートが困難なツールを使用

影響を受けたのはどこの組織ですか？

同攻撃は、ソフトウェア・サプライチェーンを利用して公的、民間を問わず世界中の組織のネットワークへ侵害をもたらしました。現時点で、世界中の複数の組織で同活動を検知しています。影響を受けた組織には、北米、ヨーロッパ、アジア、中東の各政府、および、コンサルティング、技術、医療、電気通信、石油・ガス産業の組織などがあります。他の国や産業にも影響がある可能性があります。

この攻撃グループについてもう少し詳細を教えて下さい

このクラスタは我々がまだ追跡中のものです。そしてそのふるまいから、国家支援を受けた活動だと推測されます。同キャンペーンの黒幕である攻撃者は、世界中数多くの公的/民間組織へアクセスしています。攻撃者は、SolarWind Orion IT モニタリング、およびマネージメント・ソフトウェアのアップデートをトロイの木馬化することで、被害組織へのアクセスを可能にしました。