カジノサイト
民間企業のIPカメラをハッキングするロシアの活動を共同勧告が警告
20 以上の国際機関が発行した今週、西側の物流企業やテクノロジー企業の IP カメラをハッキングするロシア国家支援のキャンペーンについて警告。
この勧告は、この活動をロシア軍参謀本部情報総局(GRU)と関連付けている 85番目メイン特別サービスセンター (85番目GTsSS)、軍事部隊 26165 - 一般に APT28 およびファンシー ベアとして知られています。同部隊によると、2022年2月下旬のウクライナ侵攻の頃、同部隊はウクライナへの援助物資の提供に携わる物流企業やテクノロジー企業に標的を拡大したという。
攻撃者は、資格情報の推測、資格情報を求めるスピアフィッシング、マルウェアを配布するスピアフィッシング、その他の脆弱性の悪用など、さまざまな方法を使用してアクセスを取得しました。
対象となる組織には、北大西洋条約機構 (NATO) 加盟国の組織、ウクライナ、および航空交通管理、防衛産業、IT サービス、海事、輸送および輸送ハブ (港、空港など) のその他の国際組織が含まれます。
攻撃者は、ウクライナへの物資の移動を追跡するために、国境検問所、軍事施設、鉄道駅近くの主要な場所にあるプライベートカメラへのアクセスを利用した可能性があります。
「攻撃者らは、2022 年 3 月の初めに、主にウクライナにある IP カメラをホストするリアルタイム ストリーミング プロトコル (RTSP) サーバーを大規模なキャンペーンで標的にし、デバイスを列挙してカメラのフィードにアクセスする試みを行った」と勧告には記載されています。 「攻撃者が制御するサーバーが送信されました主に IP カメラをホストする RTSP サーバー宛てのリクエスト。 DESCRIBE リクエストは、リクエストを受信したルーターのネットワークとは論理的に異なるネットワーク上にある IP カメラにアクセスできるように作成されています。リクエストには、RTSP サーバーの Base64 でエンコードされた認証情報が含まれており、これには公的に文書化されたデフォルトの認証情報と、おそらくデバイスへのブルート フォース アクセスを試みる一般的な試みが含まれていました。」
これらのリクエストに対する正常な応答には、IP カメラの画像のスナップショットと、ビデオ コーデック (ビデオ データを圧縮または解凍するプロセス)、解像度、カメラの構成に依存するその他のプロパティなどの IP カメラのメタデータが含まれます。
この手法を使って標的となった1万台以上のカメラに関する勧告を作成した政府機関が入手可能なサンプルでは、ウクライナのカメラ(試行全体の81.0パーセント)に重点が置かれており、次いでルーマニア(9.9パーセント)、ポーランド(4.0パーセント)、ハンガリー(2.8パーセント)、スロバキア(1.7パーセント)、その他(0.6パーセント)の国境諸国が続いている。
「ロシア軍諜報機関によるこの悪意のあるキャンペーンは、ウクライナへの支援提供に関与する組織を含む、標的となった組織に深刻なリスクをもたらしている」と、この勧告に共同署名した英国国家サイバーセキュリティセンターの運営責任者ポール・チチェスター氏は次のように述べた。「英国とパートナーは、展開されている戦術についての認識を高めることに取り組んでいます。ネットワークを守るために、組織が勧告に含まれる脅威と軽減に関するアドバイスをよく理解することを強く推奨します。」
カナダ安全保障情報局の元諜報員であり、リスクコンサルタント会社カーシュ・グループの社長であるアンドリュー・カーシュ氏は、非常に機密性の高い適切な情報にアクセスできることが多いため、政府による情報共有は歓迎され、役立つと述べている。
「政府が重要な資産の運用とセキュリティにおいて民間産業に依存している、または民間産業と協力している場合、政府が政府自身を、ひいては全員をより良く守るために、この種の情報をそれらのパートナーに提供することが重要です。」とカーシュ氏は付け加えた。
カメラへのアクセスで明らかになること
セキュリティ専門家がよく知っているように、IP カメラ ビデオ監視システムは、施設で発生するイベントの監視、監視、調査によく使用されます。
これらのカメラは「多くの場合、入り口やアクセスポイントの周囲に戦略的に設置され、動きや敏感なエリアでの不規則な活動を監視します」とカーシュ氏は言います。 「攻撃者が自身の目的、特に攻撃者の出荷、人員、物流を監視する場合に、この情報にアクセスしたいと考えるのは当然です。」
i-PRO のグローバル サイバーセキュリティ アドバイザーであるウィル ネア氏は、勧告に記載されている場所でビデオ監視にアクセスすることで、攻撃者は部隊の移動、警備員の交代、セキュリティの弱点、作戦リズムに関する貴重な情報を得ることができ、一般情報や破壊的行動の調整に利用できると付け加えています。
たとえば、国家が発電所を攻撃したい場合、ビデオ監視により、その場所に設置されている物理的なセキュリティ管理(障壁、鍵、フェンス、警備員)や、その場所を通る人や設備の流れに関する洞察が得られます。
「いつシフトが変更されるか、いつ警備員がローテーションやパトロールに行くか、装備品にどのようなブランド名やモデルが使用されているか、どの程度武装しているか、制服はどのようなものなのか、バッジはどのようなものであるのかがわかります。可能性は無限です」とクネア氏は言います。 「これらの情報はすべて、最適な攻撃計画 (物理的またはサイバー) は何か、いつ実行するか、どのように実行するかなどを決定するために使用できます。
「これは自国の諜報機関にとっても豊富な情報です。ロシアが空港、造船所、鉄道駅のビデオ システムに侵入した場合、彼らは何人の軍隊が来ているのか、どの国で展開しているのか、そして持ち込んでいる装備を知ることができます。」
この脅威は主に東ヨーロッパ諸国をターゲットにしているようですが、「インフラストラクチャと物流サーバー、セキュリティ デバイス、データが価値が高く、優先度の高いトピックであることを思い出させてくれます」と カジノサイト 国際 IT セキュリティ コミュニティ運営委員会のメンバー、サルバトーレ ダゴスティーノは述べています。 「また、IP デバイス、特に IP 監視カメラが国家主体の標的となっているという事実も浮き彫りになります。」
セキュリティの次のステップ
この勧告には、組織がビデオ監視システムを評価して影響を受けているかどうかを確認するために使用できる侵害の兆候が含まれています。
この脅威のリスクを軽減するために民間企業がとるべき多くの対策も含まれています。たとえば、適切なネットワーク セグメンテーションの使用、セキュリティ上の懸念がないかアクセス ログを監査し、異常なアクセス要求を特定するための自動ツールの使用、特定の種類のログインのブロックなどです。
キルシュ氏は、私たちが自らの保護を強化するために使用しているツールが危険にさらされたり、私たちに対して悪用されたりしないように、ビデオ監視システムを保護することが重要であると強調します。
「監視システムは情報を取得して共有するように設計されており、転送中のデータはサイバー侵害に対して脆弱です」とカーシュ氏は言います。 「デバイスの基本的なプログラミングから、システムのユーザーが適切なサイバー衛生を実践しているかどうかに至るまで、侵害の兆候を監視することが重要です。データの不規則なアクセスや流出を検出する継続的な監視により、問題を警告することができます。」
Knehr 氏は、攻撃者はこれらの IP カメラにアクセスするために新しい技術を使用していないと付け加えました。
「これらはどれも劣悪なサイバー衛生状態に戻ります」と Knehr 氏は説明します。 「多くのデバイスのデフォルトのパスワードはインターネットで見つけることができますが、インテグレータにはさまざまなプロジェクトでパスワードを再利用する悪い習慣があります。つまり、パスワード マネージャーの使用、デバイスのソフトウェアとファームウェアの更新、脆弱性スキャン、および基本的なサイバーセキュリティ トレーニングによって、彼らのトラックのほとんどすべての[戦術、テクニック、手順]が無効になります。」
Knehr 氏は、勧告以外にも、ビデオ監視カメラを他の重要な IT 資産と同様に保護することが重要であると述べています。これには、安全なネットワーク構成、定期的なパッチ適用と更新、一意のパスワード、パスワード マネージャー、安全なプロトコルの使用が含まれます。また、これらのデバイスをコア インフラストラクチャから分離し、IIoT ネットワーク上で脆弱性スキャンを実行し、これらのネットワークが侵入テストの範囲内にあることを確認するとともに、これらのデバイス上の未使用のポートとサービスを無効にし、ネットワーク トラフィックとデバイス アクセスを監視することも推奨しています。
「これらのネットワークとデバイスは、すべてのコア インフラストラクチャ ネットワークが適用されるのと同じルール、監視、セキュリティ テストの対象となる必要があります」と Knehr 氏は言います。 「すべての組織に、すべてのプロジェクト、特に IT、IIoT、IoT、OT デバイスをレビューおよび実装する委員会を設置することをお勧めします。委員会は、IT、サイバーセキュリティ、物理セキュリティの担当者に加え、組織内のその他の主要な関係者で構成する必要があります。」
ダゴスティーノは、この勧告は物理的セキュリティと情報セキュリティの相互依存性を明確に示していると付け加えました。
「この報告書自体は、国家主体とその広範なハッキングおよび攻撃ツールによるリスクに対処するための、複数の国の多くの組織の共同努力の結果です。」とダゴスティーノ氏は説明します。「IT と物理的セキュリティの両方が、この種の報告書と、関連する情報共有および分析センターの両方を常に把握しておく必要があります。」
