サイバーセキュリティ啓発

Apr 4, 2021

この一ヶ月の間にDark tornadeの活動があった。米国全体がクリスマスの準備をしている一方で、 Dark Halo による影響を受けた人々はシステムを必死に調査し、パッチを当てています。攻撃の構造は、細心の注意が払われた操作であり、多くの洞察を提供した。

Dark Haloの脅威を十分に理解するには、これまで実施されてきた日常的なセキュリティ体制の確認が必要です。ほとんどのネットワークは、サイバー攻撃に対する防御が不十分です。アメリカの企業は、「十分に良い」がモットーでした。 ファイアウォールが設置されていて、適切なウイルス対策が設置されており、すべてのコンポーネントのデフォルトのインストールが設置されている場合、状態は良好です。それよりも少し良い体勢にするために、SolarWindsのネットワーク監視ツールがインストールされると、サービスの可用性が保証されます。

これまで、ほとんどのサイバー攻撃はソフトウェアの1つまたは2つの欠陥を悪用するように設計されていました。PHP exploitやIOS exploitでは、サイバー攻撃の足跡は一握りの犠牲者に限定されていました。ランサムウェアの被害者は、より大きな影響が発生していますが、ランサムウェアの拡散は少数の企業に限定されています。通常、保険会社や企業は、ランサムウェアによる一般的な脆弱性と暗号化されたファイルを悪用により支払いを要求されます。ネットワーク監視が緩慢であったため、多くの場合、障害はビジネスマネージメント側に置かれていました。 同様に、Experianの攻撃は、ITのバックグラウンドを持たない最高情報責任者が責任を追及されました。

SolarWindsやその他の企業は、ネットワーク活動に関する深い洞察を提供することに誇りを持っています。 発生する脅威は、これらの監視ツールによって公表および集中され、集合的なネットワーク操作に一定レベルの集約されたインテリジェンスを提供します。潜在的なランサムウェアの脅威が進行中の場合、ネットワーク運用担当者はその脅威に迅速に対応して排除できます。

これらはすべて、18,000社を超える企業に対しても機能します。 詳細を調べると、この攻撃ではJIRAボードがセットアップされていることがほぼ想像できます。APT29グループは、ネットワークへのアクセス経路を取得し、情報を抽出し、攻撃の痕跡をクリーンアップするために、細心の注意を払って攻撃方法を作成しました。攻撃は非常に高度であったため、Duoの信頼性が高いとされる多要素認証方法が痕跡を残さずに利用されました。 これは、被害者のネットワークへ侵入するために、高レベルのインテリジェンスを持つ個人が使用されたことを意味します。つまり、低レベルの凶悪犯によるスマッシュアンドグラブではありませんでした。この攻撃は、プーチン政府が後援するオーシャンズ11スタイルのチームによって計画されました。

Duoコンポーネントを分析すると、攻撃者が持っている深層レベルの理解が明らかになります。

開発責任者であるConnor Peoplesは、次のように述べています。「連邦当局が身元を検証するため、ほぼすべての連邦プロトコルが暗号化を使用しています」。「これらのキーが安全に保たれている場合、内容が変更されていないことを証明するため署名を検証する認証トークンを危険のない状態で渡すことができます。」

Peoplesは続けます。「この場合、攻撃者はDuoが行動したかのように、OWAを介して独自の認証要求を偽造できる署名キーを持っていました。SSOの用語では、これはサービスプロバイダーが開始する要求ではなく、IDプロバイダーの要求として発生する可能性があります。マイクロソフトは、プロトコルに従って、秘密がもはや秘密ではなく、悪意のある第三者によって使用されていたため、署名されたセッション情報を検証することができました。 したがって、Duoにはログインの記録がなく、Microsoftは要求を検証しました。」

これは、Duoに対する攻撃を他の場所で利用できることを意味します。 それ自体は実際には欠陥ではありません。システムは設計どおりに機能しました。繰り返しますが、攻撃者は宣言どおりに機能するルーチンを悪用しました。このような脅威から身を守るために、私たちはこれらの国が後援する脅威に対する標準的なケアを強化しなければなりません。 Siriux Technologiesスキャンシステムは、これらのタイプの脅威に対するより高いスタンスを可能にします。

しかしながら、情報セキュリティに対する典型的な「十分に良い」スタンスは、単に十分ではありません。 サイバー戦争攻撃から防御するための正しい姿勢は、ネットワーク管理者がすぐに解決できるレベルまで防御と脅威の認識を高める最新のセキュリティスキャンと脅威修復プロトコルを実装することです。

Dark Haloは、これまで安全であると考えられていたものを超えて、ベースラインを引き上げました。 企業および政府のネットワークでは、過去および新たに発見された脅威に対してテストおよび解決するために、詳細なレベルのスキャンが必要です。「十分に良い」を超えるには、潜在的な脅威アクターが実行する可能性のあるすべてのアクションを考慮する必要があります。 今後の情報セキュリティ体制は、システムアーキテクチャに精通した脅威アクターを考慮して設計する必要があります。 敵を考え抜くには、すぐに利用できる深いレベルの知識を活用する必要があります。 情報セキュリティを真剣に受け止めることで、ユーザーの防御はダークハローの脅威を超えることができます。

Siriux Technology Scannerは、この脅威を真剣に受け止めています。 さらに、これらの脅威に対して保護と修復に必要な知識のを提供します。

Jefferson Nunn

Jefferson Nunn

ソフトウェア開発は私の仕事だけではなく、私の情熱でもあります。 私は一生懸命働き、毎回期限通りに最高の結果を出すことに誇りを持っています。 私は、さまざまな複雑なプロジェクトを完了するために必要な知識と意欲を持っています。 テキサス州ダラスに妻と2人の子供と一緒に住んでおり、時間がある時はSF映画を楽しんでいます。