Uber侵害の資格情報はLapsus$アフィリエイターに売られたもの? 暗躍する初期アクセスブローカーの実態

　シスコシステムズ(米カリフォルニア州)へのハッキングについて、同社がランサムウェアオペレーターと関係する初期アクセスブローカー(IAB)による犯行の可能性を指摘していることを以前、記事にしました。初期アクセスブローカーの実態についてサイバーセキュリティ企業のセンチネルワンが最近、レポートを出しましたので紹介したいと思います。

1 ドメイン管理者権限を3000ドルから
2 おまとめ廉価販売と高額プレミアムに二極化
3 Uber攻撃、請負業者の個人用デバイスが感染していた

ドメイン管理者権限を3000ドルから

　初期アクセスブローカーとは特定の企業や組織等の内部ネットワークにアクセスするためのIDやパスワード等をサイバー犯罪者に販売する人たちを言うようですが、詳しい実態はよくわかりません。ダークネットの市場やサイバー犯罪者が集うフォーラム等では初期アクセスブローカーによる投稿で溢れている実態があるようです。センチネルワンのジム・ウォルター氏によるブログ記事では、初期アクセスブローカーの投稿を具体的に示していて、以下の画像はそのうちの1つです。

SentinelOne「More Evil Markets ― How It’s Never Been Easier To Buy Initial Access To Compromised Networks」より(https://www.sentinelone.com/blog/more-evil-markets-how-its-never-been-easier-to-buy-initial-access-to-compromised-networks/)

　このケースでは、インド洋にあるモーリシャス共和国に所在する加入者数1300万人のICTサービスとソリューションのプロバイダーのドメイン管理者権限を3000ドルから販売していることがわかります。保証金の支払いを求めており、価格は一定の時間が経つと500ドルずつ上がっていくようです。初期アクセスブローカーが提供するのはアクセス権限にとどまらず、ターゲットのネットワークで使用されているアンチウィルスソフトやEDRセキュリティソリューションに関する情報なども含まれるケースがあるようで、画像のケースではアンチウィルスとしてシマンテックの記載があります。ブログ記事では他に、イギリスのITソリューション・サービスプロバイダーのアクセス権が4000ドルから販売されているケースやダムと水路を管理するパネルへのアクセス権が販売されているケースなどをあげています。

おまとめ廉価販売と高額プレミアムに二極化

　センチネルワンのジム・ウォルター氏によると、販売されているアクセス権の多くは、パッチが適用されていない既知の脆弱性を悪用して得られたものが多いようで、こうしたアクセス権は廉価でまとめて販売されている実態があるようです。一方で既知の脆弱性では得られない、価値の高いターゲットのアクセス権についてはプレミアム価格として高額で販売されている実態もあるということです。ジム・ウォルター氏によると、MSP(マネージドサービスプロバイダー)に対する侵害の増加の背景には、ダークネットの市場等でMSPのアクセス権が、スキルの高くないサイバー犯罪者たちに多く売られていることがあるようです。

　今日のランサムウェア攻撃は、ランサムウェアを開発して運営している犯罪グループと、ランサムウェアを使って実際に攻撃を行っているアフィリエーターとも呼ばれる犯罪者が分業化して犯罪ビジネス化しているわけですが、さらに標的にアクセスするためのIDやパスワード等を既知の脆弱性を悪用するなどして取得し販売している初期アクセスブローカーがおり、初期アクセスブローカーがランサムウェア攻撃者を下支えしている実態があると言えそうです。ただし、初期アクセスブローカーそのものは、ランサムウェアが広く出回る以前より存在していました。ランサムウェア攻撃が多発する中で、その存在がクローズアップされてきたと言えそうです。

Uber攻撃、請負業者の個人用デバイスが感染していた

　最近、ニュースになっているアメリカのテクノロジー企業、Uber(ウーバー・テクノロジーズ、カリフォルニア州)に対するサイバー攻撃でも、攻撃者はUberの内部ネットワークの資格情報を初期アクセスブローカーから購入して攻撃を行ったとみられています。Uberの発表によると、この攻撃者はLapsus$のアフィリエイターのようですが、Uberへの攻撃以前にUberの請負業者の個人用デバイスがマルウェアに感染して資格情報が公開された事実があるようです。その資格情報を使って初期アクセスブローカーが請負業者に侵入してUberの内部ネットワークにアクセスするIDやパスワードを窃取、それをダークウェブでLapsus$アフィリエイターが購入して攻撃を仕掛けたという流れのようです。

　一方、シスコへのハッキングについて同社は「UNC2447、Lapsus$、Yanluowangランサムウェアオペレーターと関係のある初期アクセスブローカー(IAB)」の犯行を示唆しLapsus$の関与を指摘していることから、Uberへのハッキングとの関連も考えられます。ちなみにシスコへの攻撃はYanluowangランサムウェアが攻撃を表明しダークウェブ上に流出ファイルのリストを公表したことから明るみになりました。シスコによると、9月11日に同じダークウェブ上に以前公表されたリストのファイルの中身が公開され、その内容はすでにシスコが開示している内容と同じものだということです。この攻撃についてシスコは、ハッキングを受け非機密性のデータが窃取されたものの、攻撃を封じてビジネスに直接影響する被害は出ていないとの見解を示しています。

■出典

https://www.sentinelone.com/blog/more-evil-markets-how-its-never-been-easier-to-buy-initial-access-to-compromised-networks/

https://www.sentinelone.com/blog/evil-markets-selling-access-to-breached-msps-to-low-level-criminals-2/

https://www.uber.com/en-CA/newsroom/security-update/

http://blog.talosintelligence.com/2022/08/recent-cyber-attack.html

https://news.sophos.com/en-us/2022/09/22/uber-rockstar-fall-to-social-engineering-attacks-and-you/