再生可能エネルギー産業を標的とする、大規模なサイバー・スパイ・キャンペーン

Cyber espionage campaign targets renewable energy companies

2022/01/17 BleepingComputer — 再生可能エネルギーや産業技術gy連の組織を主たる対象とした、大規模なサイバー・スパイ・キャンペーンが 2019年頃から活動を開始し、世界の 15以上の組織を標的にしていることが判明した。このキャンペーンを発見したのは、Curated Intelligenceトラスト・グループのセキュリティ研究者である William Thomas であり、DNS スキャンやパブリック・サンドボックス・サブミッションといった、OSINT (open-source intelligence) 技術を用いたとのことだ。

Thomas の分析によると、攻撃者はカスタムの Mail Box ツールキットを使用していることが判明した。このツールキットは、脅威アクターのインフラ上に展開された素朴なフィッシング・パッケージであり、フィッシング・ページをホストするために侵害した正規の Web サイトも含まれている。フィッシング・ページの大半は、”.eu3[.]biz”、”.eu3[.]org”、”.eu5[.]net” のドメインでホストされており、侵害されたサイトの大半はブラジル “.com[.]br” にある。

再生可能エネルギー分野を狙う

このフィッシング・キャンペーンの目的は、再生可能エネルギー企業/環境保護団体/産業技術全般に従事する人々の、ログイン認証情報を盗むことである。フィッシング攻撃の標的となっている組織は以下の通りとなる。

  • Schneider Electric
  • Honeywell
  • Huawei
  • HiSilicon
  • Telekom Romania
  • University of Wisconsin
  • California State University
  • Utah State University
  • Kardzhali Hydroelectric Power Station (Bulgaria)
  • CEZ Electro (Bulgaria)
  • California Air Resources Board
  • Morris County Municipal Utilities Authority
  • Taiwan Forestry Research Institute
  • Carbon Disclosure Program
  • Sorema (Italian recycling firm)

このキャンペーンで使用された、フィッシング・メールのサンプルは取得できなかったが、Thomas はランディング・ページから “Your Mail Box storage is full” という誘い文句が配信されたと考えている。

正体不明の脅威アクター

Thomas は、このキャンペーンを実行した脅威アクターを断定できていないが、いくつかの証拠から、APT28 (FancyBear) と Konni (北朝鮮の脅威アクター) の2つのグループの可能性を指摘している。

最近になって Google Threat Analysis Group の研究者たちは、APT28 に起因するフィッシング活動を発見しており、そこでは複数の “eu3[.]biz” ドメインが使用されている。両グループの共通点は、フィッシング・クレデンシャルに使用されているホスト名が Zetta Hosting Solutions のものであることだ。この名前は、最近のアナリスト・レポートに数多く登場している。

“Konni ” は、Cluster25 が摘発した Diplomat を標的としたキャンペーンで、Zetta Hosting Solution のドメインを使用しており、Proofpoint が分析した T406 (韓国のハッカー) のキャンペーンでも使用されている。

Thomas は BleepingComputer に対して、多く のAPT ハッキング・グループが、悪意のキャンペーンで Zetta を使用していると説明している。Zetta は、APT やマルウェアに多く利用されており、彼らが知らないとしたら極めて驚くべきことだ。Zetta は大手企業ではない。脅威アクターたちは、迅速/自由/匿名でインフラを立ち上げることができる、このような無料のホスト名サービスを好む。ただし、Thomas は、Zetta Hosting が故意に悪意のキャンペーンを支援しているという、確証や具体的な証拠は持っていないと強調している。

ブルガリアへの注目と潜在的な動機

上記の被害者のセクションで述べた企業の他に、ブルガリアの複数の銀行を標的とした、同じインフラに関連する、2019年からは始まっている小規模な活動にも、Thomas は気づいている。彼は、敵対者が化石燃料に関心のある団体に所属し、特にブルガリアにエネルギーを販売している人物であり、自然エネルギーを脅威と見なしている人物から、資金援助を受けていると考えている。

これまでに、銀行を標的にしてきたのは、新しい再生可能エネルギー施設に関連する、資金調達や建設計画に関する情報の収集という可能性がある。APT28 は、国家に支援されたロシアのグループであり、ブルガリアはロシアの天然ガスを大量に輸入していることが知られている。そのため、このキャンペーンと脅威アクターとの関連性は、現時点では証明されていないとしても、論理的根拠があるという。

社会インフラ狙いであっても、身代金を要求するようなシンプルな話ではなく、まったく新しい目的を持った APT の登場ですね。なお、再生可能エネルギーを狙った攻撃としては、2021年10月の「ランサムウェアと水道施設:米国における3件の SCADA Systems 侵害とは」や、11月の「風力発電機メーカーの巨人 VestaWind に発生したデータ侵害」などがあります。よろしければ、カテゴリ Infrastructure もご参照ください。

%d bloggers like this: