米国のサイバーセキュリティ 当局者らは昨日、ロシアを拠点とするランサムウェア集団クロップが実行している可能性が高い広範なハッキングキャンペーンの一環として、「少数」の政府機関がデータ侵害の被害に遭ったと発表した。 このサイバー犯罪グループは、ファイル転送サービス MOVEit の脆弱性を悪用して、シェル、ブリティッシュ・エアウェイズ、BBC などの被害者から貴重なデータを盗み出しています。 しかし、米国政府の標的を攻撃しても、すでに注目を集めているハッキング事件のサイバー犯罪者に対する世界の法執行機関の監視が強化されるだけだ。
MOVEitを所有するProgress Softwareは、 パッチが適用された 5 月末の脆弱性と米国サイバーセキュリティ・インフラストラクチャセキュリティ庁 勧告を発表しました 連邦捜査局は6月7日、クロップ氏の悪用について警告し、官民を問わずすべての組織が欠陥を修正することが緊急に必要であると警告した。 CISA高官は昨日記者団に対し、米国政府のMOVEitインスタンスはすべて更新されたと語った。
CISA当局者は、どの米国政府機関がこの事件の被害者であるかについては明言を避けたが、エネルギー省がその中に含まれていることをCISAに通知したことを認めた。 CNN、 最初に報告された 米国政府機関への攻撃、 さらに報告された 今日、ハッキング事件がルイジアナ州とオレゴン州の何百万人もの住民の運転免許証と身分証明書データに影響を与えたことが発表された。 クロップ氏は以前、ミネソタ州とイリノイ州政府に対する攻撃も自分の功績だと主張していた。
「私たちは現在、MOVEitアプリケーションに影響を与える侵入を経験しているいくつかの連邦政府機関に支援を提供している」とCISA長官のジェン・イースタリー氏は木曜日に記者団に語った。 「ジョイント・サイバー・ディフェンス・コラボレーティブで業界パートナーと行った議論に基づくと、これらの侵入は、より広範なアクセスを獲得したり、標的のシステムへの永続性を獲得したり、特定の高価値情報を盗んだりするために利用されていないと私たちは理解しています。つまり、この攻撃は主に日和見的なものです。」
イースタリー氏は、クロップ氏が米国政府から盗んだデータを公開すると脅迫したことはCISAは見ていないと付け加えた。 また、匿名を条件に記者団に語ったCISA高官は、CISAとそのパートナーは現在、クロップ氏がロシア政府と調整しているという証拠を見ていない、と述べた。 一方、Clop は企業をターゲットにすることに重点を置いており、政府や法執行機関からのデータはすべて削除すると主張しています。
Clop は、被害者のシステムを暗号化し、復号キーを提供するために支払いを要求する標準的なランサムウェア攻撃者として 2018 年に出現しました。 このランサムウェア ギャングは、広く使用されているソフトウェアや機器の脆弱性を見つけて悪用し、さまざまな企業や機関から情報を盗み、それらに対してデータ恐喝キャンペーンを開始することでも知られています。
ランサムウェアを専門とするセキュリティ会社レコード・フューチャーのアナリスト、アラン・リスカ氏は、クロップ氏はランサムウェアのアプローチで「ある程度の成功」を収めたと述べた。 しかし、最終的には、暗号化ベースのランサムウェアから離れ、エンタープライズ ソフトウェアの脆弱性を突いたエクスプロイトを開発し、それを使用して大量のデータ窃盗を実行するという現在のモデルに移行することで、差別化を図りました。
また、クレムリンとクロップの間には直接の連携はないかもしれないが、調査ではロシア政府とランサムウェアグループとの関係が繰り返し示されている。 この取り決めの下では、これらのシンジケートは、国内の被害者を標的とせず、クレムリンの影響力に従わない限り、何の処罰も受けずにロシアから活動することができる。 では、クロップ社は本当に政府の被害者から収集したデータを、たとえ偶然であっても削除しているのだろうか?
「米国政府機関が特に標的にされたとは考えていない。 Clop は、ソフトウェアを実行している脆弱なサーバーを単純に攻撃しました」と Liska 氏は MOVEit キャンペーンについて語ります。 「しかし、クロップ氏が米国政府やその他の興味深い標的から収集した情報は、クレムリンと共有された可能性が非常に高い。」