ロシアの軍事GRUユニットで活動している悪名高いサンドワームの脅威グループは、監視されていることに気付いたときに研究者を罵倒することに何の不安もありません。 今年初めにサンドワームの新しいマルウェアの亜種のXNUMXつを分析したときに、メッセージを大声で明確に受け取ったESETのロバートリポフスキーと彼の仲間の研究者に聞いてみてください。エンジニアリングツール—研究者が攻撃者のマルウェアを分析するために使用したものとまったく同じツール。
ESETの主な脅威インテリジェンス研究者であるLipovskyは、それが偶然ではないことを知っていました。 サンドワームは恐らく勇敢に、そして皮肉にも、ESETがその道を進んでいることをグループが知っていたことを指摘していました。 エンジニアリング変電所への攻撃で「IDAProを使用する理由はありません」と彼は説明します。これは、そのシステムで使用されるツールではないためです。 「攻撃者は、私たちが攻撃を仕掛け、脅威をブロックしていることを十分に認識していることは明らかです。 彼らは多分私たちを荒らしていると思います。」
Sandwormが送信していると思われるメッセージはそれだけではありません。 このグループはまた、ウクライナのネットワークを標的にしたESETのセキュリティソフトウェアのトロイの木馬に乗ったバージョンを削除しました。 「彼らは、私たちがウクライナのユーザーを保護する仕事をしていることを知っているというメッセージを送っていました」とLipovskyは言います。
LipovskyはESETチームの一員であり、ウクライナのコンピューター緊急対応チーム(CERT-UA)およびMicrosoftとともに、2月に、ゲームを変えるIndustroyerマルウェア武器の新しいバージョンを使用したウクライナのエネルギー会社に対するSandwormによるサイバー攻撃をブロックしました。 IndustroyerXNUMX。 それが時間内に阻止されなかったならば、攻撃は国の電力網の一部からいくつかの高圧変電所をノックしたでしょう。
Industroyer2は、最初のイテレーション(Industroyer)のよりカスタムバージョンです。 2016年XNUMX月に解き放たれたサンドワーム、ウクライナの首都、キーウの一部で一時的に権力を奪いました。 2月のIndustroyerXNUMX攻撃の試みには、攻撃者の計画停電が発生したときに回復操作を阻止するために、Windows、Linux、およびSolarisを実行しているエンジニアリングワークステーションを破壊するように設計された破壊的なディスクワイプツールも付属していました。 Industroyerは、ライトを遮断できる最初の既知のマルウェアであり、一般的な産業用ネットワークプロトコルを介して、変電所のICSハードウェア(回路ブレーカーや保護リレーなど)と通信できます。
2月にウクライナで行われたIndustroyer2の攻撃の試みが目立って失敗した後も、サンドワームはウクライナのサイバー防御を絶え間なく攻撃し続けています。 「それはIndustroyerXNUMXで終わったわけではありません。 それは今日も続いています」と、ESETの上級マルウェア研究者であるAntonCherepanovと共有するLipovskyは述べています。 彼らのインサイダーの見解 サンドワームの分析とグループのIndustroyer2マルウェアの分析 来月ラスベガスのブラックハットUSAで.
「今日はワイパーが増えています…そして新しい実行チェーンが使用されています」と彼は言います。
ウクライナのインフラストラクチャに対するサンドワームによる現在の攻撃の試みのほとんどは、現在、ディスクワイプ兵器を搭載しています。 ロシアが最初にウクライナを侵略したとき、「XNUMX月以降、混乱の活動が増加しているのを見てきました」と彼は言います。 サイバースパイ攻撃によるIntelの収集も活発に行われていると彼は付け加え、サンドワームはウクライナを標的とする最も著名なロシアの脅威アクターであるが、それだけではないことを指摘した。
Industroyer2を間近で
ブラックハットの講演で、リポフスキーとチェレパノフは、まだ公開されていないサンドワームに関する技術的な詳細を明らかにするとともに、国民国家グループの攻撃から身を守るための公益事業者向けの推奨事項を共有する予定です。
Lipovskyと彼のチームは、Industroyer2を、最初のバージョンのよりシンプルで合理化されたバージョンとして説明しています。 最初のIndustroyerとは異なり、Industroyer2は104つのOTプロトコルであるIEC104のみを話します。元のバージョンはXNUMXつの異なる産業用プロトコルを使用していました。 その方がより効率的で焦点が絞られている可能性があります。「[IECXNUMXは]ヨーロッパで最も一般的な[OT]プロトコルのXNUMXつであり、地域的なものです」と彼は述べています。
Industroyer2のディスクワイプ機能は、最初のバージョンの機能を上回ります。 「最初のものは複数のコンポーネントを備えたフレームワークであり、ワイプのためにそこにあった追加のモジュールも呼び出していました」と彼は言います。 Industroyer2はより「自己完結型」であり、ワイパーを個別の実行可能ファイルとして提供します、と彼は言います、他の最近のサイバー事件で発見されたマルウェア兵器。
キャディーワイパー Industroyer2で使用されるメインディスクワイパーです。 サンドワームは、ロシアが24月にウクライナに侵攻する8時間前にウクライナの銀行、2月初旬に政府機関、および対象となるウクライナのエネルギー会社の一部のWindowsワークステーションでCaddyWiperを指差した。 Sandwormは、LinuxおよびSolarisワークステーションに破壊的なマルウェアプログラムORCSHRED、SOLOSHRED、およびAWFULSHREDも設定しました。 そして最後の仕上げとして、SandwormはIndustroyerXNUMXのすべての証拠を消去する方法として、XNUMX月XNUMX日にCaddyWiperを実行するようにスケジュールしましたが、ブロックされました。
興味深いことに、Sandwormは通常、被害者のネットワークでの自身の足場を乱さないように、ドメインコントローラーをワイプしません。 「彼らは通常のワークステーションをワイプしてターゲットの操作を妨害しますが、環境に侵入した後はその存在を維持したいと考えています」とLipovsky氏は言います。
ESETや他の研究者がIndustroyer2について知っていることはすべてありますが、ウクライナのエネルギー会社に対するIndustroyer2攻撃の最初の攻撃ベクトルの全体像はまだありません。 CERT-UAによると、攻撃は8段階に分かれているようで、最初の段階は今年のXNUMX月、もうXNUMXつはXNUMX月の変電所の切断と、XNUMX月XNUMX日の電力運用の妨害でした。
Industroyer、Sandwormに対する防御
Industroyer2はウクライナで訓練を受けていますが、その出現はOT業界を揺るがしました。 「Industroyerは、ICSコミュニティ全体の目覚めの呼びかけでした。 これは深刻な脅威です」とLipovsky氏は言います。
OTネットワークをIndustroyerおよび関連する攻撃から保護するための手引きは、他の手引きと大差ありません。 「それは私たちがいつも言っていることです。環境を可視化する。 EDR、XDRツールがあります。 スタック内のセキュリティの複数の層。 とアクセス制御」とLipovskyは言います。
Black Hat LipovskyとCherepanovでの講演では、EDRルール、横方向の動きを停止するための構成の提案、およびSnortツールとYARAツールのルールも共有されます。
また、OTネットワークのエンジニアリングワークステーションが主要なターゲットになっていることを繰り返す予定であるため、セキュリティ方程式の一部である必要があります。 「多くのSCADAソフトウェアと監視は、WindowsまたはLinuxを実行する通常のワークステーションで行われています。 これらのマシンには、EDRまたはXDRツールの実行を含め、多層化された適切なセキュリティ対策とソリューションが必要です」と彼は言います。
