Sandworm チームとウクライナ電力当局による攻撃

アップデート 1.11.16 – SANS ICS チームが点をつなぐ

ブログ エントリを更新して、SANS ICS チームの Mike Assante によって公開された最近の分析に注意を向けます。

「影響を受けた電力会社、研究者、メディアによって入手可能になった情報を分析した結果、サイバー攻撃がウクライナの停電の直接の原因であったことは明らかです。SANS ICSチームは進行中の議論を調整し、複数の国際的な分析を提供しています。コミュニティのメンバーと企業. 会社の声明、メディアの報道、および直接の分析に基づいて、インシデントが組織的な意図的な攻撃によるものであると確信を持って評価しています.

ここで SANS の投稿全文を読み、iSIGHT については以下を参照してください。

iSIGHT Partners アナリストコメント

SANS ICS ブログは、ウクライナの攻撃の性質 (特に破壊的なマルウェアと電話の混乱の役割) とサンドワーム チームへの帰属に関して、iSIGHT が以前に到達した結論を確認しています。 iSIGHT Partners は、この事件が民間人に実質的な影響を与えた最初の大規模なサイバー攻撃であり、複数の依存セクターにとってグリッドが圧倒的に重要であるため、この事件はマイルストーンであると考えています。さらに、Sandworm チームが米国とヨーロッパの重要なシステムに以前から関心を持っていたことは、それらがもたらす脅威を強調しています (Sandworm チームの詳細については、以下を参照してください)。

Sandworm チーム – 歴史的にウクライナを標的にしており、SCADA システムに関心を持っています

先週以来、iSIGHT Partners は、ウクライナの停電に関する詳細を世界中のお客様に提供するために取り組んできました。私たちは、この地域から入手できた法医学的証拠を分析し、サイバースパイアクターに関する私たちの知識の範囲内で文脈化しました。イベントの詳細の多くは不明のままであり、インシデントの性質、特に破壊的なマルウェアの使用を考えると、すべての詳細が明らかになるとは考えていません。

ただし、主に BlackEnergy 3 に基づいて、Sandworm チームをインシデントに結び付けました。これは、彼らの名刺になったマルウェアです。

iSiGHT Partners はしばらくの間 S andwormチームを追跡してきました。私たちは、 2014 年 10 月に彼らの活動の一部を公式に報告しました。そのキャンペーンでは、ウクライナ政府高官、EU および NATO のメンバーが標的にされていました。スパイ活動に関する情報を公開した直後、私たちの友人であるTrendMicroは、オペレーターが古典的な戦略的スパイ活動を行っているだけでなく、 SCADA システムも標的にしているという証拠を発見しました。その証拠が蓄積され、iSIGHT Partners は、この活動が攻撃の偵察、つまり長期的に実行されるサイバー攻撃への準備であると判断したため、フォローアップ ブログをリリースしました。 ICS-CERTも別のアドバイザリをリリースしました。

Sandworm チームの活動 – 2014 年後半から現在まで

サンドワーム チームは、2014 年 10 月に公開された直後に活動を停止し、以前追跡に使用していた砂丘参照 (「サンドワーム」モニカの起源) を持つマルウェアは完全に姿を消しました。しかし、独自のマルウェア亜種である BlackEnergy 3 は、2015 年初頭にウクライナで再出現し、そこで最初に Sandworm Team を発見しました。 2015 年を通じて、BlackEnergy 3 を使用した侵入活動が増加していることを確認しました。当時、標的の検証は不可能でしたが、ヨーロッパの標的への注目が高まっていることを示唆する新機能についてクライアントに警告しました。さらに、後にサイバー攻撃の影響を受けたセクターである、ウクライナのメディアと地域の電力当局の両方が標的にされていることについて、お客様に警告しました。この情報の一部は、最近、Sandworm チームを非常に密接にフォローしているESET の人々によって共有されました。

ウクライナ電力庁の事件について

先週、iSIGHT のソースから、SANS および Dragos Security の Rob Leeによって公開されたものと同じ KillDisk マルウェアが提供されました。 ESET と同様に、私たちはこのマルウェアを BlackEnergy 3 (Sandworm Team と思われる) に関連する活動のより大きなコンテキスト内に配置します。この KillDisk マルウェアは、10 月のウクライナの選挙で悪用された破壊的なマルウェアに関連していると考えられます。当時、 CERT-UA はその事件を BlackEnergy 3 に関連付けました。その後、シマンテックはこれらの主張を検証しました。さらに、iSIGHT 自身の情報源は、BlackEnergy 3 マルウェアが、KillDisk の影響を受けたウクライナの電力システムの少なくとも 1 つに展開されたことを示しています。

iSIGHT Partners は、停電のメカニズムと、より大きなイベントで KillDisk マルウェアが果たした役割に関する情報を引き続き収集しています。 KillDisk マルウェアが機能停止を引き起こしたことは確認できません。復元作業やオペレーターの視認性を妨げるために、次の手順で電力を操作するために使用された可能性があります。電力当局に関連するテクニカル サポートの電話番号に電話が殺到したと言われていることは注目に値します。公式ウェブサイトで、ウクライナのセキュリティ サービスである SBU は、この主張を行いました。

見通し

この性質のサイバー攻撃は、予測可能なものではありますが、マイルストーンです。サンドワーム チームの以前のヨーロッパと米国での活動の積極的な性質は、重要なシステムを標的とすることへの関心を明らかにし、サイバー攻撃の準備を示しました。戦争中の 2015 年を通して、ウクライナの重要な組織が標的にされたことで、インフラストラクチャを混乱させたいという願望がさらに予兆されました。