エネルギー企業やインフラを狙うサイバー攻撃グループ「Dragonfly」
November 1, 2017 08:00by 『Security Affairs』https://the01.jp/p0006000/ニュースのポイント(THE ZERO/ONE編集部より)
Dragonflyはエネルギー業界を狙って6年ほど活動している攻撃グループだ。
本文に出てくるシマンテックのレポートは日本語版が出ており、「Dragonfly: 欧米のエネルギー業界を狙う高度な攻撃グループ」で読むことができる。シマンテックのレポートでは、Dragonflyの初期活動は、攻撃対象に対する調査を行い、最近のDragonfly 2.0では運用システムに対してアクセスできるようになっており、将来はエネルギー組織に対する破壊活動を行なうのではないかと指摘している。
米国土安全保障省(DHS)と連邦捜査局(FBI)が発表した警告によれば、複数のAPTグループが現在、「政府機関」および「エネルギー、原子力、水道、航空、重要製造業に携わる企業」を積極的に狙っている。
その警告は「エネルギーや、その他の重要インフラのセクターを標的として、遅くとも2017年5月から現在まで行われているAPT活動」について彼ら(標的となりえる組織)に知らせるため、金曜日にメールで送られたものだ。
「その攻撃者たちは、遅くとも2017年5月以降、政府機関、およびエネルギー、水道、航空、原子力、重要製造のセクターを狙ってきた。彼らが自身の能力を実際に行使し、被害者のネットワークを危殆化したケースもある」と、警告には記されている。
「それらの活動に関する明確なインディケーターや行動は、DHS、FBI、そして信頼できる複数のパートナーの分析によって確認されてきた。より具体的に言えば、シマンテックが2017年9月6日に発表したレポート『Dragonfly: Western energy sector targeted by sophisticated attack group』は、この継続している攻撃活動に関して、さらなる情報を提供している」
そのハッカーたちは、意図した機関を攻撃するため、サードパーティの供給者や契約者たち(ステージングターゲット/足場となる標的)を狙っていた。
この攻撃者たちは、「最終的な目標となる被害者」への攻撃を開始する際、足場となる標的のネットワークをピボットポイント、およびマルウェアのリポジトリとして活用する。
警告によれば、その活動は現在も継続中であり、また政府の専門家たちは、「遅くとも2011年から米国とカナダの防衛や航空の企業を標的としてきたハッキンググループDragonfly(別名「Energetic Bear」)が、その活動に携わっている」と考えている。このDragonflyは2013年初頭の第二段階においてのみ、米国と欧州のエネルギー企業を標的とした活動に注力した。
シマンテックのセキュリティ専門家たちは2014年、米国、イタリア、フランス、スペイン、ドイツ、トルコ、ポーランドの組織を標的とする新たな活動を暴いた。
ハッキンググループDragonflyは、エネルギー網の事業者、大手発電企業、石油パイプラインの事業者、およびエネルギー産業の産業機器プロバイダーに対してサイバースパイ活動を行っていた。
DHSが発表したJARのレポートによると、Dragonflyは「ロシア政府と関連づけられるAPTの実行者」だった。
その悪名高いグループは2015年12月以降、感知されることがなかった。しかし現在、研究者たち「Dragonflyが欧州と米国のエネルギー企業を狙っている」と指摘した。
2017年9月、その攻撃者たちはエネルギー施設の運用システムの制御を(あるいは運用の妨害すらも)狙って活動した。
現在も継続している活動の話に戻ろう。その攻撃者は、スピアフィッシングの活動を開始している。
「彼らはスピアフィッシング活動においてMicrosoft Officeの機能を利用し、SMBプロトコルを用いるリモートサーバーから文書を抜き出すために、メールの添付ファイルを利用した(リクエストの例:file[:]///Normal.dotm)。Microsoft Word標準の実行プロセスの一部として、このリクエストでは要求されたファイルを取得する前にユーザーのクレデンシャルのハッシュをリモートサーバーに送信し、サーバーでクライアントを認証する」と、その警告文は記している(注:資格情報の転送が行われるとき、必ずしもファイルが取得されるわけではない)。それから脅威の実行者たちは、おそらくパスワードクラッキングの技術で平文のパスワードを取得する。いったん有効な資格情報を得てしまえば、彼らは「承認されたユーザー」に成りすますことができる。
またAPT28のハッカーは、PDF形式の一般的な契約書のスピアフィッシングメールも使用していた。それは、たとえ悪意のあるコードを含んでいなくとも、受信した人物がリンク(短縮されたURL)をクリックすることによって、悪意あるファイルをダウンロードするように仕向けるものだ。
メールを受け取った人物に「添付ファイルをクリックしたい」と思わせるため、(このスピアフィッシングで)武器として用いられる添付ファイルは、産業コントロールシステムの人事で使われる本物の履歴書やレジュメ、あるいは招待状やポリシー文書などを参考にして作られている可能性がある。
「そのメールは、産業コントロールシステムの人事に用いられる本物のレジュメや履歴書、招待状、ポリシー文書に見えるMicrosoft Wordの添付ファイルを利用していた。それらはユーザーに添付を開くよう仕向けるものだ。ファイル名のリストはIOCで公開されている」と、その警告は続いている。
さらに攻撃者たちは、水飲み場攻撃の手法も用いていた。彼らはプロセスコントロール、ICS、あるいは重要インフラに関連している業界紙や情報のウェブサイトを侵害する。CS-CERTで発表された警告文では、インディケーターや侵害行為、攻撃に用いられたファイル名、MD5ハッシュなどに関して、より詳細な情報を読むことができる。
翻訳:編集部
原文:DHS and FBI warn of ongoing attacks on energy firms and critical infrastructure
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。
【US-CERTレポート】電力会社や重要インフラ狙うサイバー攻撃の実情
原子力発電所を抱える電力会社や、国家の重要インフラを支えるさまざまな企業のネットワークに侵入しようとするハッカーらの攻撃が続いていることで、サイバー諜報活動や妨害工作に対する世の中の不安が高まっている。
US-CERTが米連邦捜査局(FBI)と米国土安全保障省(DHS)の共同分析に基づいてまとめたレポートによると、電力会社をはじめとする企業のネットワークに侵入し、発電施設内の制御システムに関する情報を含む、制御用システムの詳細な情報を盗もうとするハッキングキャンペーンが続いているという。
同レポートによると、ハッカーらはエネルギーや原子力、水、航空といった分野や、重要な製造業分野に関連する政府機関や企業のシステムを標的にしているという。
国家によって支援されたハッカーらが重要なインフラにアクセスしようと活発に行動していることは以前から知られているが、同レポートはこうしたハッカーらが、国家の重要インフラに関する情報を収集するために、どのようなかたちで複数ステージにわたる洗練された攻撃手段を用いているのかという点に一歩踏み込んで詳細に解説している。
同レポートは、ハッカーらがこれら大手企業のサプライチェーンをたどって段階的に攻撃していく方法について記している。具体的には、ネットワーク規模が小さく、セキュリティが甘い小規模企業をまず攻撃し、そこを踏み台にして「エネルギー業界内の資産価値が高い大手企業」のネットワークに侵入していこうとするのだという。
DHSによると、侵入に向けたこうした攻撃が続いており、攻撃者らは「長期的なキャンペーンを通じて、最終的な目標に向けて積極的に活動している」という。またDHSは、ハッカーらが被害者のネットワークへの侵入に成功した事例も複数あると述べている。
2015年と2016年に発生した、ハッカーの仕業とされるウクライナでの大規模な停電を皮切りに、エネルギー業界は攻撃者らの興味の対象となってきている。また最近では、欧州や米国における電力会社のネットワークへの侵入が試みられたという報告も複数上がってきている。
同レポートは、直近のキャンペーンの背後にいるハッカーらの動機について推測を避けつつも、「歴史を振り返ってみると、サイバー犯罪者らはエネルギー業界を標的にし、サイバー諜報活動から、敵対的な対立が発生した際にエネルギーシステムを崩壊させる力に至るまでのさまざまな実利を得ようとしてきている。また、以前にも彼らは、同様のキャンペーンによって他の重要なインフラ業界を標的にしてきてもいる」と警告している。
研究者たちはかなり以前から、さまざまな国のハッカーらの動きが活発化しており、後日の攻撃時に利用できる脆弱性を見つけ出すために敵対者のシステムやネットワークを探査したり、将来発生するかもしれないサイバー戦争に備えて利用できそうな脆弱性を把握しようとしていると警告している。
攻撃は複数のステージから構成されている。同レポートの分析によると、このハッキングキャンペーンにおける最初の標的は、セキュリティの甘いネットワークを運用しているサプライヤーだという。
DHSは、ハッカーらが実際に標的とする組織と関係の深い企業群を、公開されている情報に基づいて意図的に選択しているようだと述べている。
また、ハッカーらはネットワーク設計や組織構成に関する情報とともに、制御システムの能力に関する情報についても狙っており、こういった機密性の高い情報が組織の手違いで外部に流出してしまうこともしばしばある。同レポートによると、人事部門のウェブページ上で公開されていた、一見何の問題もなさそうな小さな写真をハッカーがダウンロードしたと考えられるケースもあったという。
「その写真の解像度は高く、拡大すると、被写体の背景に写っている制御システムの機器名称やステータス情報が読み取れるようになっていた」(同レポートより)
ハッカーは標的を定めた後、スピアフィッシングキャンペーンを開始し、ユーザーに関する詳細情報を取得しようとする。このような行為によりハッカーは、権限を持ったユーザーに成りすましてシステムに侵入する際に用いるパスワードをクラックするための情報を入手するわけだ。
標的となるネットワークに対しては、若干内容の異なるスピアフィッシング電子メールキャンペーンが仕掛けられる。これらの電子メールは「AGREEMENT & Confidential」(合意書および機密事項)という表題となっており、PDF文書が添付されている。PDF内にはダウンロードが自動的に開始されない場合に備えてクリックするためのリンクが用意されており、それをクリックしてしまうとマルウェアがダウンロードされる。こういった電子メールすべては、攻撃者が狙いを定めている一般的な産業用制御システムや産業用制御機器、プロセス制御システムに言及した内容となっている。
こうしたキャンペーンでは、業界関連の出版/情報ウェブサイトを改ざんし、悪意のあるコンテンツを仕掛け、最終的な標的のネットワークに侵入するための踏み台にするようなことも行われている。
標的となるネットワークへの侵入を果たしたハッカーは、目的とする被害者のファイルサーバを検索して産業用制御システム、すなわちSCADAシステムに関するファイルを探し出す。その際には、ベンダー名のほか、「SCADA Wiring Diagram」(SCADA機器類の接続図)や「SCADA panel layouts」(SCADAのパネルレイアウト)といったファイル名を含むリファレンスドキュメントを見つけ出そうとする。
この攻撃の背後にいるのが何者なのかは明らかになっていないものの、分析のなかでは「APT」(Advanced Persistent Threat:高度かつ永続的な脅威)と称されている。APTは多くの場合、国家が背後にいるサイバー犯罪者を指す際に用いられる。また同レポートは、セキュリティ企業Symantecが実施した調査の結果にも言及している。Symantecはその調査レポートのなかで、攻撃者を「Dragonfly」(「Energetic Bear」という別名もある)と呼んでいる。Symantecによると今回のキャンペーンは、国家の関与する、高度な技術力を用いた攻撃行動である可能性が十分にあるという。
「このグループは豊富なリソースを有しており、さまざまなマルウェアツールを駆使し、数多くの第三者ウェブサイトを攻撃しながら、複数の攻撃ベクタを通じた攻撃を実施する力を持っている。その主たる動機はサイバー諜報活動であり、同能力を利用して妨害活動を起こすだけの力も副次的に有していると考えられる」」(Symantec)
Symantecによると、このグループはエネルギー業界に対する攻撃を実施してきており、その攻撃は少なくとも2011年にまでさかのぼれるという。Energetic Bearはロシアのハッキンググループであると一般的に考えられているが、Symantecによると同グループが使用しているマルウェアのコードにはロシア語の他にフランス語の文字列もあるため、「いずれかの言語は意図的に混乱させるためのものである可能性がある」という。
Symantecによると、さらに困ったことに攻撃者が標的となるネットワークやシステムの情報を収集するという諜報段階や、後のキャンペーンで使用する認証情報の取得が終わった後は、妨害工作へと続くケースが多いという。同社は、「最近のキャンペーンによって、将来より破壊的な行動に利用できるような、OSへのアクセス手段を攻撃者が手にした可能性もある」と述べ、このキャンペーンが新たな段階の始まりとなる可能性について警告している。
Symantecのレポートでは「この攻撃で最も懸念すべきエビデンス」が画面コピー、おそらくはOSのデータを捕捉した画面の使用だと記されている。US-CERTのレポートはさらに踏み込んで、「ある事例において、攻撃者は発電施設内の制御システムからのデータ出力が保持されている企業ネットワークにつながっているワークステーションやサーバにアクセス」し、その画面イメージを取得したと述べている。なお、US-CERTのレポートには、企業が攻撃から身を守るために実施するべき対策にまつわる数多くの助言も含まれている。
0 件のコメント:
コメントを投稿