ウクライナで発見されたデータ消去マルウェア:ロシアによる侵攻と連携か?

New Wiper Malware Targeting Ukraine Amid Russia’s Military Operation

2022/02/23 TheHackerNews — サイバー・セキュリティ企業である ESET と、Broadcom 傘下の Symantec は、ロシア軍によるウクライナ侵攻が開始したことを受け、ウクライナの数百台のマシンに対する新たな攻撃に使われた、新しいデータ・ワイパー・マルウェアの発見を発表した。スロバキアの ESET は、このワイパーを HermeticWiper (別名:KillDisk.NCV) と名付けた。そして、このマルウェアのサンプルの1つが、2021年12月28日にコンパイルさえれていることから、攻撃のための準備が 2カ月前から進められていた可能性を示唆している。

ESET は、「このワイパーのバイナリは、Hermetica Digital Ltd に発行されたコードサイニング証明書を用いて署名されている。そして、EaseUS Partition Master ソフトウェアの、正規のドライバを悪用してデータを破損し、最終段階としてコンピュータをリブートする」と、一連のツイートで述べている。少なくとも、1つの侵入では、Windows ドメイン・コントローラから直接にマルウェアがデプロイされており、攻撃者がターゲット・ネットワークを制御していたことが分かる。

このデータ・ワイパー攻撃の規模や影響、また、この攻撃の背後にいる脅威アクターの正体は、現時点では判明していない。しかし、ウクライナのコンピュータ・システムに破壊的なマルウェアが展開されたのは、1月中旬の WhisperGate 作戦に続いて、今年で2回目となる。

また、今回のワイパー攻撃は、水曜日にウクライナの政府機関や銀行を襲った分散型サービス妨害 (DDoS) 攻撃として、第3の大規模な波であり、外務省/内閣/国会などのオンライン・ポータルがノックアウトされている。DDoS 攻撃の目的は、大量のジャンク・トラフィックを送り込むことで標的を圧倒し、アクセス不能に陥れることにある。

先週に、ウクライナ最大の銀行である PrivatBank と Oschadbank の2行と、ウクライナ国防省と軍隊の Web サイトが、原因不明の DDoS 攻撃により機能停止に陥った。そのため、英国と米国の政府は、ロシアの主要情報局 (GRU) に矛先を向けたが、クレムリンは疑惑を否定している。

その後の 2月15日に、このインシデントを CERT-UA 分析したところ、Mirai や Mēris などのボットネットが用いられ、感染した MikroTik ルーターや IoT デバイスを介して実行されたことが判明した。しかも、ウクライナの国家機関に属する情報システムは、2022年1月だけで 121件ものサイバー攻撃の標的にされたが、それらの攻撃は失敗に終わったと言われている。

さらに、今週の初めに Accenture が発表したレポートによると、ダークウェブ上のサイバー犯罪者たちは、高い利益を得ることを期待して、RaidForums や Free Civilian などのマーケットプレイスで、ウクライナの国民や重要インフラの情報を含むデータベースやネットワークアクセスを宣伝し、進行中の政治的緊張に乗ろうとしているようだ。

また、今年に入ってからの、破壊的で悪意に満ちた連続的なサイバー攻撃に対して、一連の攻撃は不安を広げ、国家の防衛能力に対する信頼を損ない、国家の統一を不安定にするための行為であると、ウクライナの法執行機関は見なしているようだ。2月14日にウクライナ治安局 (SSU) は、「偽の情報を広め、組織的にパニックを引き起こし、現実の状況を歪曲しようとする試みに、ウクライナは直面している。この、すべてが組み合わさった行為は、ハイブリッド戦争の、新たな大波以外の何物でもない」と発表している。

ロシアによるウクライナ侵攻が始まる前日の記事です。これまでは DDoS が主体の攻撃だと思っていましたが、ついに破壊的なワイパー・マルウェアを投入してきたようです。1月31日の「ロシアによるウクライナ攻撃:国家支援 APT などのアクティビティが明るみに」では、スパイウェアだと指摘されていましたが、今回の HermeticWiper は別物のようです。そして厄介なのは、スパイウェアやワイパーに混じって、金銭目当てのランサムウェアが活性化してくることです。

%d bloggers like this: