Doctor Webは9月17日(現地時間)、「Doctor Web's resources attacked」において、同社のリソースに対する標的型攻撃を検出したと発表した。発表によると攻撃は阻止され、Doctor Webのセキュリティソリューションを導入していた顧客への影響はなかったとのこと。
攻撃の概要
Doctor Webは攻撃検出を発表した翌日、攻撃を無事に回避したとして概要を発表した(参考:「Doctor Web resumed virus database updates after the attack on its infrastructure」)。発表によると、攻撃は9月14日に開始された。Doctor Webのセキュリティチームは監視および制御を継続したが、16日にインフラストラクチャーへの不正な干渉の兆候を検出したという。
検出を受けて速やかにすべてのサーバをネットワークから切断、包括的なセキュリティ診断を開始した。収集されたデータにより脅威の切り分けに成功。顧客への影響回避に成功したとしている。さらに特定のノードをインターネットから一時的に切断して追加のチェックを実施。この作業によりウイルスデータベースの配信を一時的に停止した。
ウイルスデータベースの配信は9月17日午後1時30分(協定世界時)に再開された。Doctor Webの顧客はデータベース配信が一時停止されたことを除き、この攻撃による影響は受けなかったとされる。
不正な干渉
Doctor Webは顧客への影響回避を強調しているが、インフラストラクチャーへの不正な干渉について詳細を公開していない。これまでのところ、攻撃者の素性や戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)の詳細および情報流出の有無などが不明のままとなっている。