米政府機関への「最大規模」攻撃　ネットワーク管理製品のアップデートを悪用

実行はロシアのハッカー集団？

　米メディアによると、攻撃を実行したのは「APT28」（別名：Cozy Bear、Fancy Bearなど）とみられるという。Obama政権時代の大統領府のメールサーバーへの不正アクセスの実行や、大統領選への攻撃も取り沙汰されているハッカー集団だ。

　SolarWindsにアドバイスしたというFireEyeは13日、Orionを「トロイの木馬化」するサプライチェーン攻撃を見つけたと発表した。「世界レベルの侵入キャンペーン」と認定した上で、APT28とは特定せず、「UNC2452」と命名して、これまでに分かったことをまとめている。

　それによると、Orionの脆弱性を悪用して配信したマルウェア「SUNBURST」を使って不正にアクセスした後、ラテラルムーブメント（侵入拡大）やデータ窃盗などの活動を行った。「さまざまな手法を使って検出を逃れて活動を分かりにくくした」（FireEye）という。

　なお、FireEyeは前週、自社も国家が関係していると思われる組織からサイバー攻撃を受け、攻撃診断に用いるツール「Red Team」が盗まれたと報告していた。

　APT29は、以前からロシア政府の諜報機関であるロシア対外情報庁（SVR）の一部と言われており、米政府高官は今回もロシア政府の関与があると発言している。これに対し、ロシア大統領府は反論、公式に否定している。