Tardigrade マルウェアの高自律性に注意:Covid-19 ワクチン製造ラインを狙っている

Sophisticated Tardigrade malware launches attacks on vaccine manufacturing infrastructure

2021/11/25 StateOfSecurity — セキュリティ研究者たちが、世界中のバイオ製造施設が巧妙な新種マルウェア Tardigrade に狙われていると警告している。この警告は、非営利団体である Bio-ISAC (Bioeconomy Information Sharing and Analysis Center) が発表したものであり、今年に入ってからバイオ医薬品やワクチンを製造する少なくとも2つの大規模施設が、標的型攻撃と思われる同じマルウェアに攻撃されたことを明らかにした。

BioBright の創業者であり、BIO-ISAC の理事でもある Charles Fracchia によると、Tardigrade は バイオ製造施設などで使われる Windows コンピュータを対象とする APT であり、「かつてないほど洗練されたステルス性の高いツールを用いる」とのことだ。

Tardigrade は、一般的なランサムウェアの攻撃と勘違いされるかもしれないが、他と異なるレベルの洗練された手法と自律性を有している。また、一般的なランサムウェアとは異なり、Tardigrade による脅迫や金銭の搾取は中途半端なものであり、データ流出やスパイ活動の方に関心が向いているようだ。

セキュリティ研究者によると、Tardigrade は SmokeLoader マルウェア・ファミリーの亜種と思われるが、はるかに自律性が高く、Command and Control センターに依存するのではなく、修正するファイルを自分で選択し、組織内を縦横無尽に動き回り、USB メモリを感染させるなどの、行動をとることができるとされる。

Charles Fraccia は Wired 誌に対して、Tardigrade は新たなレベルに到達していると語っている。具体的には、「これは、ほぼ確実にスパイ活動から始まったものだが、遮断/破壊/スパイ活動の全てを網羅している。Tardigrade は、この分野で見られるマルウェアの中でも、最も洗練されたものだと思われる。これは、他の産業を標的とした、国家に支援された APT による攻撃やキャンペーンと不気味なほど似ている」と述べている。

製薬会社やバイオ・エコノミーに対する攻撃は、パンデミックの最中に世界中で発生しているが、その理由としては、その社会的価値の高さに比べて、この分野の防御力が低いことを、悪意の撃者が発見したことが挙げられる。

現時点において、各国政府は COVID-19 から国民を守るために奔走している。そして、Tardigrade の攻撃に関与している組織や人物を、公に指摘する者はいない。むしろ、この脅威に関する情報が広まるよりは、他のバイオ製造施設が攻撃されることを恐れている。Tardigrade が持つ能力については、現在も分析が続けられているが、BIO-ISAC の研究者たちによると、この攻撃は継続的な広がりを見せており、公表するのが適切だと判断したようだ。

最初の感染は、受信者を騙してファイルを開かせる、ポイズン・メールを介して起こる可能性が高いという。しかし、Tardigrade マルウェアは、ネットワーク上で横に広がることもあれば、USB スティックに感染することもある。

マルウェア研究者の Callie Churchwell は、「Tardigrade が横方向への拡散に使用する方法として、ネットワーク共有であり、また、リストからランダムな名前のフォルダ (例:ProfMargaretPredovic) を作成する」と述べている。

BIO-ISAC は、リスクのあるバイオ製造企業に対し、ネットワークのセグメンテーションを見直し、社内で保護すべき魅力的な資産を定め、重要なインフラのテストとオフラインでのバックアップを実行することを推奨している。また、バイオインフラにおける主要コンポーネントの交換/更新が必要になる場合のリードタイムを問い合わせ、自社が標的になっていると想定すべきだと述べている。

ヘルスケア関連の記事としては、「FIN12 ランサムウェアは医療機関を狙う:時間をかけない素早い侵害が特徴」や、「Olympus アメリカがサイバー攻撃を受けている:9月の欧州攻撃はランサムウェア?」、「Philips Tasy EMR ヘルスケアに深刻な SQL インジェクションの脆弱性」などが挙げられますが、ついにと言うか、やはりと言うか、Covid-19 ワクチンの製造施設にまで、攻撃がおよんでいたようです。

%d bloggers like this: