中国アクターによる新たなサプライチェーン・アタック

主に香港をターゲットにするハッカーがマルウェアを検出しにくくするためにマイクロソフトの信頼モデルを乗っ取った。

ハッカーが正規のアプリケーションを改ざんし、マルウェアを何百人、何千人という被害者に送り込む「ソフトウェア・サプライチェーン攻撃」は、サイバーセキュリティの新たな脅威となっている。このサプライチェーン攻撃がハッカー・グループによって行われ、マイクロソフトの信頼済みソフトウェア・モデルを悪用してマルウェアが正規のものであるかのように偽装された。

ブロードコム傘下のセキュリティ企業シマンテックがCarderBeeと名付けたハッカー集団によるサプライチェーン攻撃が検知された。シマンテックによると、ハッカーたちはCobra DocGuardとして知られる中国発祥のセキュリティ・ソフトのソフトウェア・アップデートをハイジャックし、独自のマルウェアを注入して、香港を中心にアジア全域の約100台のコンピュータを標的にしたという。被害者のマシンにインストールされたDocGuardやその他の悪意のあるコードを悪用するなどのいくつかの手がかりから、CarderBeeは中国の国家が支援した過去のハッキング作戦と関連している。

CarderBeeは、マイクロソフト社からデジタル署名で入手することにも成功した。この署名は、マイクロソフト社が信頼できるコードを指定するために通常使用するもので、マルウェアの検出をはるかに困難にした。

Cobra DocGuardは、皮肉なことに、組織内のユーザー権限のシステムに基づいてファイルを暗号化して保護するセキュリティ・ソフトウェアとして販売されているが、ユーザー数は約2000人である。コマンドの実行からキー入力の記録まで可能なマルウェアをインストールするマシンとして、ハッカーがわずか100台ほどを選んだという事実は、CarderBeeが何千台もの潜在的な被害者を調べ上げ、特にこれらのユーザーをターゲットにした可能性がある。

Cobra DocGuardアプリケーションは、2000年に中国で設立され、現在はカリフォルニア州ミルピタスに本社を置くセキュリティ企業Nsfocus社が所有するEsafeNet社によって配布されている。

攻撃のステルス性を高めるために、CarderBeeのハッカーたちはマイクロソフト社を欺き、自分たちのマルウェアに正当性を与えることに成功した。彼らはマイクロソフトを騙して、信頼できるコードを指定するためにマイクロソフトがWindows Hardware Compatibility Publisherプログラムで使用している証明書でKorplugバックドアに署名させ、正規のソフトウエアに見せかけた。このプログラムでは通常、開発者はマイクロソフトに事業体として登録し、コードをマイクロソフトに提出して承認を得る必要がある。しかしハッカーたちは、自分で作成した開発者アカウントか、他の登録開発者から入手したアカウントを使って、マイクロソフト社の署名を得たようだ。

マイクロソフト社によって署名されてしまったマルウェアは、長く続く問題となる。マイクロソフト社に承認された開発者アカウントにアクセスすることは、ハッカーにとってはハードルが高い。しかし、いったんそのアカウントを手に入れると、マイクロソフト社は登録開発者のコードの審査に甘い。マイクロソフト社は通常、開発者として提出したコードのすべてに署名する。多くの脅威調査者は、脅威を発見するとき、マイクロソフト社の署名があるものを除外することから始めるため、不正な署名付きのマルウェアを発見するのは難しい。