米国政府は、複数の連邦機関が人気のファイル転送ツールのセキュリティ脆弱性を悪用したサイバー攻撃の犠牲になったことを確認した。
TechCrunchと共有した声明の中で、CISAは、「いくつかの」米国政府機関が、Progress Softwareが開発したエンタープライズファイル転送ツールMOVEit Transferの脆弱性悪用に関連した侵入を経験したことを認めた。 同庁はまた、攻撃はロシアと関連のあるクロップ・ランサムウェア集団によるものだとしており、この集団は今週、MOVEitの欠陥を悪用してハッキングしたと主張する組織の名前を掲載し始めた。
CISAは今回の攻撃でどれだけの機関が影響を受けたかについては明らかにしていない。 CNN 最初に報告したが、影響を受けた政府機関の名前は明らかにしなかった。 しかし、エネルギー省はTechCrunchに対し、その組織のうち2社が侵害された組織の中に含まれていることを認めた。
「ファイル共有ソフトウェア MOVEit Transfer に対する世界的なサイバー攻撃で 2 つの DOE 機関の記録が侵害されたことを知り、DOE はさらなる脆弱性への曝露を防ぐために直ちに措置を講じ、サイバーセキュリティ・インフラストラクチャー・セキュリティ庁 (CISA) に通知しました。」と DoE は述べています。広報担当者は語った。 「同省は議会に通知し、事件を調査し侵害による影響を軽減するために法執行機関、CISA、影響を受けた団体と協力している。」
による 連邦ニュースネットワーク、オークリッジ関連大学とニューメキシコ州にある廃棄物隔離パイロットプラントは、この脆弱性の影響を受けた 2 つの DOE 組織であり、「エネルギーの従業員や請負業者を含む、潜在的に数万人の個人の個人識別情報」が暴露されました。
連邦データ調達システムによると、他にも約 12 の米国政府機関が MOVEit 契約を締結しています。 これには、陸軍省、空軍省、食品医薬品局が含まれます。
MOVEitの脆弱性について言及した木曜日の記者会見で、CISA長官のジェン・イースタリー氏は、サイバーセキュリティ局が影響を受けた政府機関と協力して「影響を早急に把握し、タイムリーな修復を確保する」と述べた。 データが盗まれたかどうかはまだ不明だが、侵入は「特定の高価値情報を盗む」ことや、標的のシステムへの永続性を獲得するために利用されていないとイースタリー氏は付け加えた。
「我々が理解しているように、要するに、この攻撃は主に日和見的なものである」とイースタリー氏は述べた。 「さらに、クロップの攻撃者が米国政府機関から盗んだデータを強要したり公開したりすると脅迫していることは知りません。」
クロップ社はダークウェブ漏洩サイトに投稿した新たな更新情報の中で、政府データは消去されており、まだ被害者としてリストされている政府機関はないと主張した。
しかし、Clop は、ボストン・グローブ、カリフォルニアに本拠を置くイースト・ウェスタン銀行、ニューヨークに本拠を置くバイオテクノロジー企業 Enzo Biochem、Microsoft 所有の AI 企業 Nuance など、MOVEit 脆弱性を介して侵害されたと主張する別の被害者を追加しました。
エンツォの代理人を務める代理店の広報担当者、リン・グラニト氏はTechCrunchに対し、同社はコメントしないつもりだと語った。 他の新規上場企業はTechCrunchの質問に回答していない。
ロシア関連のランサムウェア グループは、影響を受ける組織の最初のグループ(米国に本拠を置く金融サービス組織のファースト ソースおよびファースト ナショナル バンカーズ バンク、英国のエネルギー大手シェルを含むリスト)をわずか 1 日前に公開しました。
新たな被害者が次々と明らかになっているため、Progress Software はパッチの適用を急いでいます。 新たな脆弱性 MOVEit 転送に影響します。 CVE-2023-35708として追跡されているこの脆弱性は、顧客環境への不正アクセスにつながる可能性があるとProgressはアドバイザリーで警告している。