製造業に特化したランサムウェア:Kostovite/Petrovite/Erythrite とは?

Ransomware Trained on Manufacturing Firms Led Cyberattacks in Industrial Sector

2022/02/23 DarkReading — ウクライナ危機の深刻化と米国の対ロシア制裁を背景として、ロシアの国家支援ハッキング・チームによる破壊的な攻撃の可能性を懸念し、製造業のネットワーク事業者とセキュリティ・チームが厳戒態勢を敷いている。しかし、その現実の大半は、これまでの1年間のランサムウェア攻撃の急増という痛ましいものである。

Dragos と IBM X-Force のチームによる、2021年のインシデント・レスポンス調査では、最もホットな Operations Technology (OT) のターゲットは製造業であり、これらの組織を攻撃する主要な武器は、圧倒的にランサムウェアであることが明らかになった。Dragos が新たに発表したレポートによると、Conti と LockBit 2.0 という2つのランサムウェア・グループが、産業部門に対するランサムウェア攻撃の半分以上を実行している。そのうちの 70% が製造業を狙ったものであり、ランサムウェアに襲われた OT 産業の昨年の第1位は、製造業であることが明らかになった。

製造業で最も注目を集めたランサムウェア攻撃には、Colonial Pipeline や JBS などがあるが、公表されなかったものもある。Dragos の CEO である Rob Lee は、「かなりのケースが報告されていない。ニュースにならないだけで、たくさんある」と語っている。昨年の同社は、製造業で起こった 211件のランサムウェア攻撃案件に対応している。

製造業が、このような不名誉な扱いを受けていることは、驚きに値しないだろう。この2年間において、製造業はサイバー攻撃の標的となることが多いのは、パンデミックにより製造業への圧力が高まったことを、ランサムウェア・ギャングたちが利用し始めたからである。

IBM Security X-Force の Senior Cyber Threat Intelligence Analyst である Charles DeBeck は、「圧力がかかっている産業や組織を、サイバー犯罪者たちは常に標的にする。一般的に、製造業ではダウンタイムが許されないが、パンデミックによりサプライチェーンの速度が低下し、さらに大きな打撃を受けている」と述べている。

同社が調査した Incident-Response (IR) 事例によると、昨年の OT 企業におけるインシデントの 60% 以上が製造業に対するものであり、昨年に最も攻撃された業種 (23.2%) として、製造業は金融サービスを追い抜いた。そして、そのうちの 23% は、ランサムウェアが占めている。

ただし、製造業では、IT ネットワークに対する攻撃が大半を占め、OT ネットワークに対する攻撃はごく少数だったとのことだ。Charles DeBeck は、「IT ネットワークは、よく踏み固められた場所であり、多くの攻撃者が、IT ネットワークを標的にする方法を知っている。その一方で、OT へのダイレクトな攻撃は、それほど一般的ではない」と述べている。

なぜなら、OT のネットワークとプロセスの情報を収集するためには、脅威アクターにとっても時間が必要だからだ。Dragos によると、脅威グループが OT ネットワークに対して、大規模な攻撃を行うために十分な情報を収集するには、3年〜4年ほどの時間が必要だと言う。しかし Rob Lee は、これまでの5年間で Dragos が追跡してきた脅威グループのいくつかは、「その期間内」にあり、その攻撃力を破壊的なレベルにまで高める可能性があると指摘している。

また、昨年に Dragos は、これまで OT で遭遇したことのない、3つの新しい脅威グループを発見している。それらは、Kostovite/Petrovite/Erythrite と名付けられており、Kostovite と Erythrite に関しては、いずれも被害者の OT ネットワークへの侵入を達成している。

Kostovite は、北米とオーストラリアの再生可能エネルギー産業をターゲットにしている。大手の運用保守会社の OT インフラに侵入し、リモートアクセス用の Ivanti Pulse Connect Secure VPN のゼロデイ脆弱性を悪用し、同社に侵入していた。この企業について、Dragos は名前を明かさなかったが、米国とオーストラリアの風力発電所や太陽光発電所で、SCADA システムの保守/運用を行っているとのことだ。そして攻撃者は、この企業のの監視/制御サーバーに侵入している。

Dragos のレポートに関する記者会見において Lee は、「彼らは O&M 会社を侵害し、米国とオーストラリアにおける、多数の発電所やプラントの OT ネットワークに侵入した」と述べている。

ハッカーたちは、被害者のネットワークに常駐している正規のツールだけを使用して、認証情報を盗み出し、同社の顧客の OT ネットワークに侵入した。Dragos によると、Kostovite の手口や Tactics/Techniques/Procedures (TTPs) は、Mandiant が UNC2630 と名付けている、中国の APT の手口と重なるようだ。

しかし、従来からの中国の APT グループとは異なり、Kostovite の目的は、知的財産の窃盗やサイバースパイ以上のものだった。たとえば、この攻撃者は、発電の一部を停止できるサーバーにもいた。それは、IP を盗むためだけに侵入したのではなく、将来の破壊的行為のための長期的なアクセスだとされる。

Dragos は、「破壊的な行動を意図している敵対者が、長い時間をかけて近づいていたように見える。しかし、その O&M 企業は、攻撃を検知してからの対応が迅速であり、いかなる時も、人々への現実的な危険はなかった」と述べている。

この攻撃者は、Dragos が IR を実施する約1カ月前から、O&M 企業のネットワーク内に侵入していた。Dragos は、「当社にとって、最も憂慮すべき事例であった。1つのベンダーと複数の国々の電力会社が危険にさらされる可能性があった」と述べている。

その一方で、Dragos によると Erythrite は、Fortune 500 の食品/飲料/電気/石油/ガスなどの分野をサポートする、IT サービス・プロバイダーなどを狙う新しい脅威グループのようだ。Fortune 500 の約20%が、このグループの攻撃を受けており、その中には OT ネットワークが侵害された企業も含まれていると、Lee は指摘している。

彼は、「一貫して、様々な産業企業の IT ネットワークへの侵入を試みている。Erythrite は、マルウェアをホストする Web サイトへの、検索エンジンランキングを人為的に上げる SEO ポイズニングも攻撃経路として利用しており、Solarmarkerと類似している部分がある」と述べている。

最近になって Menlo Security が発見した Solarmarker のキャンペーンでは、2,000以上のユニークな検索キーワードを使って、ユーザーを悪意の Web サイトに誘い込み、バックドアを仕込んだ悪質な PDF を投下しているとのことだ。

また、Dragos は、カザフスタンや中央アジアの鉱山やエネルギーの事業における、ICS や OT のシステムの情報を収集する、Petrovite と呼ばれる新しいグループについても報告している。

You Can’t Secure What You Can’t See

産業界の組織 (実際には大半の組織) が依然として抱えている共通のテーマは、ネットワーク・システムの全体像を明確に把握することができず、悪者にとって開放的で脆弱な侵入口となる可能性があるということだ。この報告書によると、Dragos が支援した組織の約 86% は、OT 環境の可視性を殆ど持っていないか、あるいは、まったく持っていない状態にある。そのリスク要因として、ネットワーク・セグメンテーションの不備 (77%)、ICS システムへの外部からの接続 (70%)、IT/OT システム間での認証情報の共有 (44%) などが挙げられている。

Dragos によると、これらの組織の多くは、IT/OT ネットワークが適切にセグメント化され、未知のネットワーク接続はないと信じているとのことだ。Lee は、「しかし、それとは裏腹に、実際にリスクは存在し、ランサムウェア攻撃者により簡単に悪用される」と述べている。

IBM X-Force は 2021年1月〜2021年9月に、TCP ポート 502 接続のインターネット・スキャンが急速に増大し、2,204% 増に達したことを検出している。それは、Bus/Network/PLC の間で用いられる、産業用通信プロトコル Modbus で使用されるポートだ。

IBM X-Force の DeBeck は、「OT デバイスのロックダウンの有無について、確認する必要がある。それを、脅威アクターたちは狙っている。つまり、攻撃者の先を行くためのペネトレーション・テストの実施などにより、それらのデバイスのセキュリティをテストする必要がある」と述べている。

先ほどポストした、「製造業のインフラを攻撃するランサムウェア:圧倒的に活発な LockBit と Conti」と同様に、この記事も Dragos のレポート 2021 Year In Review を参照しているようです。やはり Conti と LockBit 2.0 に注目していますが、Kostovite/Petrovite/Erythrite とういう、3つの新たな脅威グループにかんする記述が興味深いです。

%d bloggers like this: