近年、グローバルなソフトウェア企業が、サイバー攻撃やサイバースパイ活動、さらには国家レベルのハッキングの標的になるケースが多くなっています。ここ数年で起きた情報漏洩やサプライチェーン攻撃に関する多くの報告が、これを物語っています。アバストでは、サイバーセキュリティの最前線に立ち、ユーザーへのサイバー攻撃を阻止できるよう日々尽力しています。そのため、私たち自身が標的にされることも、驚くことではないのです。
9月23日、私たちはネットワーク上で不審な行動を発見し、直ちに大規模な調査を開始しました。当調査には、チェコ保安・情報庁(BIS)および外部のフォレンジックチームとも協力しており、私たちの取り組みを支援し、収集した証拠を検証するためのツールをご提供いただきました。
私たちが収集した証拠は、10月1日のMS ATA/VPNでの活動を示していることがわかりました。この際私たちは、VPNアドレスの範囲に属する内部IPからディレクトリサービスが不正に複製されたというMS ATAの警告を再度見直していました。この警告は最初に発見された際、誤検知として扱われていたのですが、攻撃を受けたユーザーの資格情報は明らかに漏洩し、IPに紐づけられていたうえ、ユーザーにドメインの管理権限はありませんでした。しかし、特権昇格に成功したため、攻撃者はドメインの管理権限を取得することができたのです。接続は英国外のパブリックIPから行われており、攻撃者が同じVPNプロバイダーを介して他のエンドポイントも使用していることが判明しました。
外部IPを分析したところ、この攻撃者は2019年5月14日にもVPN経由でネットワークへのアクセスを試みていたことがわかりました。
さらに、一時的なVPNプロファイルが誤って有効のままにされており、攻撃者が2FAを必要とせず、内部ネットワークに不正な認証情報でアクセスできていたこともわかりました。
10月4日、私たちはこの活動を再び検知しました。MS ATAによってフラグが設定された疑わしい活動のタイムスタンプは次のとおりです(GMT+2)。
2019年5月14日午前2:00
2019年5月15日午前4:36
2019年5月15日午後11:06
2019年7月24日午後3:35
2019年7月24日午後3:45
2019年9月11日午後3:20
2019年10月4日午前11:57
ログは、一時プロファイルが複数のユーザー認証情報セットによって使用されていたことを示しており、これらのプロファイルが認証情報の盗難の標的になっていたと考えられます。
私たちは攻撃者を追跡するため、あえて一時VPNプロファイルを開放したまま、修復する準備ができるまでプロファイルを通過するすべてのアクセスを監視・調査し続けました。
また、監視・調査と並行して、エンド・ユーザーを保護し、製品のビルド環境とリリース・プロセスの両方の整合性を確保するための積極的な対策を計画し、実行しました。
さらに、2017年に発生したCCleanerへの攻撃と同じように、今回もCCleanerを標的としたサプライチェーン攻撃である可能性が高かったものの、修復の範囲を広げ、その他の攻撃にも備えました。
9月25日には予定されていたCCleanerのリリースを中止し、過去のCCleanerリリースのチェックを開始、悪意のある改変が行われていないことを確認しました。もう一つの対策として、クリーンなアップデートに再署名、10月15日に自動アップデートでユーザーに公開し、前回の認証を取り消しました。これらの予防措置を講じたため、CCleanerユーザーは保護され、影響を受けていません。
新しくCCleanerのビルドをリリースすることは、攻撃者に手を差し伸べるようなことであるため、その時点で一時的なVPNプロファイルを閉じました。同時に、すべての内部ユーザー認証情報を無効にし、リセットするとともに、すべてのリリースをさらに精査しました。
また、従業員全員の認証情報のリセットを含め、当社のビジネス・オペレーションと製品ビルドの環境、および全体的なセキュリティを強化し、さらに向上させるステップも計画しました。
今回の活動は、攻撃者が私たちによる検知を避けるため、痕跡や目的を残さないように細心の注意を払って進行した、極めて巧妙な試みであることは明らかです。これが以前と同じ攻撃者だったかはわかりませんし、今後もわからない可能性が高いため、今回の活動は 「Abiss」 と名付けられました。
私たちは、検出・応答時間をより短縮できるよう、ネットワークとシステム全体の監視・可視性の見直しを継続しています。また、ログをさらに調査し、より広範なセキュリティおよび法執行機関とともに、脅威グループの動きと手法を明らかにしていきます。私たちは、捜査の助けとなるよう、脅威グループのIPを含む機密情報をセキュリティ・法執行機関と共有しています(TLP RED)。
この記事は2019年10月21日に公開されたAvast fights off cyber-espionage attempt, Abissの抄訳です。