本ブログ記事は、2020年12月17日に米国で公開されたBlackBerryのブログ記事の抄訳版です。原文はこちらからご覧頂けます。
BlackBerry の社内セキュリティチームでは、多くの皆様と同様に、SolarWinds/FireEye インシデントの展開をリアルタイムで追跡しています。このインシデントは、12 月 8 日に FireEye 社が「自社のレッドチームツールへの不正なアクセス」につながった高度な攻撃について公表して以来展開されているものです。
FireEye 社は 12 月 13 日に、FireEye 社を含む多数の組織に侵入するために、SolarWinds 社のソフトウェアが高度な攻撃者により悪用された疑いがあると公表しました。FireEye 社のセキュリティアドバイザリによると、SolarWinds 社の Orion ソフトウェアに対するアップデートがトロイの木馬に改変され、このアップデートによりバックドアが拡散され、最終的には SUNBURST として知られているマルウェアが拡散されました。
BlackBerry での対処
この攻撃のニュースを受け、BlackBerry は迅速に対処し、この攻撃に関連するすべての既知のハッシュが弊社の BlackBerry® Protect モデルにより悪質であると判断されるか、グローバルブラックリスト(GBL)に追加されていることを確認しました。また BlackBerry では、すべての既知のサンプルを悪質と分類しており、グローバルブラックリストから始まり、これらの脅威に対処するためのセントロイドおよび BlackBerry® Optics ルールの作成へと続く、階層化防御メカニズムを構築しました(以下の参考資料セクションをご参照ください)。
今後も状況の進展に合わせ、警戒を怠らず、先を見越して、弊社およびお客様の環境の監視を継続していきます。
BlackBerry Guard とインシデント対応チーム
前述の製品の強化に加え、BlackBerry® Guard マネージド検知対応(MDR)サービスでは、24 時間 365 日、新たな侵害の痕跡の有無について、管理対象の環境を徹底的に捜索し続けます。
米国国土安全保障省(DHS)がまとめた対応書は、これらのタスクを実行するための専門知識を持つ組織にとって最適なガイドとなっています。専門家による指導が必要な場合は、BlackBerry® Security Services が提供している、侵害されているかどうかを組織が判断し、必要に応じて攻撃者を追い出すためのインシデント対応(IR)およびセキュリティ侵害評価(CA)サービスもご利用いただけます。
弊社のインシデント対応チームはあらゆる規模および業界の組織と連携し、エンドポイントセキュリティ体制を評価して強化し、ネットワークインフラストラクチャのセキュリティ、完全性、および回復力を積極的に維持することができます。
最後に…
BlackBerry では、この脅威を公表し、世間にさらした FireEye 社の透明性および協力的なアプローチを称賛します。この脅威は今後も展開し続けるため、サイバーセキュリティコミュニティが互いに協力し、情報を共有し合って立ち向かう必要があります。
参考資料と侵害の痕跡
以下のリンクでは、侵害の説明およびこの状況を緩和させるために使用可能な侵害の痕跡/修復手順を提供しています。
- https://isc.sans.edu/forums/diary/SolarWinds+Breach+Used+to+Infiltrate+Customer+Networks+Solarigate/26884/
- https://cyber.dhs.gov/ed/21-01/
- https://www.solarwinds.com/securityadvisory
- https://github.com/fireeye/sunburst_countermeasures/
概要と修復:
- https://cyber.dhs.gov/ed/21-01/
- https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
侵害の痕跡(IOC):
- https://msrc-blog.microsoft.com/2020/12/13/customer-guidance-on-recent-nation-state-cyber-attacks/
- https://github.com/fireeye/sunburst_countermeasures/
BlackBerry ナレッジベース(KB):
- KB 記事タイトル:Sunburst Malware Optics Rules(Sunburst マルウェアに対する Optics ルール)
- KB 記事番号:000072364
- KB 記事リンク:https://support.blackberry.com/kb/articleDetail?articleNumber=000072364
- KB 記事タイトル:FireEye Optics Rules(FireEye に対する Optics ルール)
- KB 記事番号:000072316
- KB 記事リンク:http://support.blackberry.com/kb/articleDetail?articleNumber=000072316