MicrosoftがSolarWindsHackのルートでSunburstマルウェアをブロック

マイクロソフトは現在、世界中で多数の犠牲者を出しているSolarWindsサイバー攻撃で使用されているSunburstバックドアをブロックしています。

サンバーストバックドアは、進行中のサプライチェーン攻撃の重要な機能であり、グローバルなマルウェアシグネチャのリリースにより、脅威が大幅に軽減されるはずです。

SolarWindsサイバー攻撃とは何ですか?

2020年12月、多数の米国政府機関が、大規模なハッキング活動の犠牲者であると発表しました。攻撃のバックドアは、SolarWinds OrionIT管理およびリモート監視ソフトウェアを介した悪意のある更新を使用して挿入されました。

これを書いている時点で、SolarWindsハックは、米国財務省と国土安全保障省、州防衛軍、商務省を犠牲者として主張しており、さらなる暴露の可能性があります。

関連:これらのセキュリティ専門家はあなたの生活をより安全にします

SolarWinds攻撃の本当の範囲はまだわかっていません。サイバーセキュリティ研究者のアラン・ウッドワード教授は、 BBCに語り、「冷戦後、これは私が知っている西側政府の潜在的に最大の浸透の1つです」と述べました。

サンバーストバックドアとは何ですか?

このような大規模な攻撃には、数年とは言わないまでも数か月の計画が必要でした。この攻撃は、SolarWindsOrionソフトウェアへの未発見の悪意のあるアップデートの配信によって開始されました。

SolarWindsとそのユーザー(その多くは政府機関)には知られていないが、脅威の攻撃者がアップデートに感染していた。

このアップデートは、少なくとも18,000人、場合によっては最大300,000人の顧客に展開されました。有効化されると、アップデートはOrionソフトウェアのトロイの木馬化されたバージョンをトリガーし、攻撃者がコンピューターとより広いネットワークにアクセスできるようにしました。

このプロセスは、サプライチェーン攻撃として知られています。このハッキングは、2020年12月に関連する注目を集めるデータ侵害の犠牲になったFireEyeによって発見されました。

関連:国家攻撃に見舞われた大手サイバーセキュリティ企業FireEye

FireEyeレポートの概要は次のとおりです。

このキャンペーンの背後にいるアクターは、世界中の多くの公的および私的組織へのアクセスを獲得しました。彼らは、SolarWindのOrionIT監視および管理ソフトウェアのトロイの木馬化されたアップデートを介して被害者にアクセスしました。このキャンペーンは2020年春に始まった可能性があり、現在進行中です。このサプライチェーンの侵害に続く侵害後の活動には、横方向の移動とデータの盗難が含まれています。

したがって、Sunburstは、FireEyeがサイバー攻撃を追跡している名前であり、SolarWindsソフトウェアを介して配布されるマルウェアに付けられた名前です。

マイクロソフトはサンバーストバックドアをどのようにブロックしていますか?

Microsoftは、セキュリティツールの検出を展開しています。マルウェアの署名がWindowsセキュリティ(以前のWindows Defender)に展開されると、Windows10を実行しているコンピューターはマルウェアから保護されます。

Microsoft 365 Defender Threat Intelligence Teamのブログによると:

12月16日水曜日の午前8:00PSTから、Microsoft DefenderAntivirusは既知の悪意のあるSolarWindsバイナリのブロックを開始します。これにより、プロセスが実行されている場合でも、バイナリが隔離されます。

Sunburstマルウェアに遭遇した場合、Microsoftは次の追加のセキュリティ手順も提供します。

  1. 感染した1つまたは複数のデバイスをただちに隔離します。 Sunburstマルウェアを見つけた場合、デバイスが攻撃者の制御下にある可能性があります。
  2. 感染したデバイスでアカウントが使用された場合は、これらが侵害されていると見なす必要があります。アカウントに関連するパスワードをリセットするか、アカウントを完全に廃止してください。
  3. 可能であれば、デバイスがどのように侵害されたかの調査を開始します。
  4. 可能であれば、マルウェアが他のデバイスに移動したことを示すインジケーターの検索を開始します。これは横方向の移動と呼ばれます。

ほとんどの人にとって、最初の2つのセキュリティ手順が最も重要です。また、 SolarWindsサイトでより多くのセキュリティ情報を見つけることができます。

攻撃者の身元の確認はありませんが、この作業は、高度に洗練された、十分なリソースを備えた国家ハッキングチームの作業であると考えられています。