エネルギー分野への攻撃:米政府がロシアの国家支援ハッカーを起訴

Russian Nationals Indicted for Epic Triton/Trisis and Dragonfly Cyberattacks on Energy Firms

2022/03/25 DarkReading — 今日、米国政府は、2012年から2018年にかけて、世界のエネルギー分野を標的とした、2つの大規模な産業システム・サイバー攻撃キャンペーンを行った疑いで、ロシア政府のために働くロシア人4人を起訴するという、2021年に下された超大型起訴状を初公開した。

Triton/Trisis

今回、公表された 2021年6月の起訴状で、米国司法省は、ロシア Ministry of Defense 研究所の従業員である Evgeny Viktorovich Gladkikh を起訴した。罪状は、サウジアラビアの石油化学プラントで、Schneider Electric の安全計装システムをシャットダウンさせた、2017年の攻撃で使用された Triton/Trisis マルウェア・ツールへの関与であり、2人の共謀者も含まれる。また、同被告は、米国の重要インフラ管理会社を侵害しようとした罪でも起訴された。

Triton は、産業プラントに甚大な物理的被害を与え、人々の生命を脅かす可能性のある損害を与えることを目的とした、新種の産業サイバー攻撃の1つである。このマルウェアは、Schneider の安全システムを妨害し、騙すことを目的としており、ICS デバイスによる危険の検出を不能にするものだ。

コンピューター・プログラマーである Gladkikh (36歳) と共謀者たちは、Triton マルウェアを作成し、サウジアラビアの石油精製所に投下し、緊急停止を引き起こした。その後に、被告人は、同様の製油所を所有する米国企業ネットワークへの侵入を、繰り返して試みたが、失敗したと起訴状は述べている。Gladkikh は、陰謀/損害賠償/コンピューター詐欺の罪で起訴され、最高刑は合計で 45年の懲役となる可能性がある。

Dragonfly/Havex

2つ目に公開された起訴状は 2021年8月のものであり、ロシア連邦保安局の Pavel Aleksandrovich Akulov (36歳)/Mikhail Mikhailovich Gavrilov (42歳)/Marat Valeryevich Tyukov (39歳) を、Dragonfly/Havex 攻撃として知られる、エネルギー部門に対する長期的なサイバー攻撃キャンペーンで告発するものだ。

この、FSB のハッカーたちに対する起訴内容は、コンピュータ詐欺/不正使用/電信詐欺/加重個人情報窃盗/エネルギー施設の財産への損害の付与などである。

2012年から2017年にかけて、Akulov/Gavrilov/Tyukov の3名は、石油/ガス/原子力/公益送電会社のネットワークへの足掛かりを得るために、まず ICS/SCADA メーカーとソフトウェア・サプライヤーのネットワークを侵害した。続いて、エネルギー分野の組織が、産業ネットワークにインストールする正規のソフトウェア更新の中にHavexマルウェアを注入するなど、多段階のサイバー攻撃を行っていたとされる。

そして、エネルギー・プラントで使用されている ICS コントローラーを含む、米国内外の 17,000台のデバイスにバックドア型マルウェアをインストールした。

その後に、被告人は Dragonfly 2.0 を始動し、スピアフィッシングやウォーターホール攻撃などの手法を用いて、ICS/SCADA デバイスを使用/操作するエンジニアやエネルギーの組織や、米国原子力規制委員会を標的とするなど、世界で 500以上の組織を攻撃したとされている。

被告人たちは、カンザス州バーリントンにある原子力発電所運営会社 Wolf Creek Nuclear Operating Corporation のエンタープライズ・ネットワークまでたどり着いたが、その産業ネットワークまでは侵入できなかった。

Akulov/Gavrilov/Tyukov の3名は、コンピュータ詐欺および電信詐欺に関連する複数の容疑で起訴され、Akulov と Gavrilov はコンピュータ損害賠償でも起訴されている。

しかし、この2件の被告が、ロシアを離れて米国本土に降り立たない限り、また、米国と引き渡し協定を結んでいる他国を訪れない限り、逮捕される可能性は低いだろう。Mandiant の VP of Intelligence Analysis である John Hultquist は、今回の起訴について、有害なサイバー攻撃を行うロシアの国家支援ハッキング集団に向けた、警告の一撃だと評価している。「これらの行動は個人的なものであり、これらのプログラムに従事している人々に対して、ロシアから簡単に出国できないことを知らせるためのものだ」と述べている。

この件は、ロシアの国家支援ハッカーによる侵害に関するものであり、その帰属に関する証拠などを押さえたという、米政府による起訴を報道するものです。3月23日の「FBI レポート:2021年のランサムウェアは重要インフラ 649 件を攻撃」は、とても興味深い内容となっていますので、今日の記事の背景として、よろしければ、ご参照ください。

%d bloggers like this: