米国政府機関の警告:ICS/SCADA を標的とする危険なマルウェアが活動し始めた

U.S. Warns of APT Hackers Targeting ICS/SCADA Systems with Specialized Malware

2022/04/13 TheHackerNews — 4月22日に米国政府は、Industrial Control Systems (ICS) や Supervisory Control And Data Acquisition (SCADA) への不正なアクセスを維持するために、国家的な驚異アクターたちが特殊なマルウェアを展開していると警告を発した。複数の米国機関はアドバイザリで「APT 行為者たちは、ICS/SCADA デバイス標的とするカスタムメイドのツールを開発している。このツールにより、彼らは OT ネットワークへのイニシャル・アクセスを確立した後に、影響を受けるデバイスをスキャン/侵害/制御できるようになる」と述べている。

連邦政府の共同勧告は、DoE/CISA/NSA/FBI によるものである。

このカスタムメイドのツールは、Schneider Electric PLC/OMRON Sysmac NEX PLC および Open Platform Communications Unified Architecture (OPC UA) のサーバーを特定するよう設計されている。

また、ASRock 製のマザーボード・ドライバーには既知の脆弱性 CVE-2020-15368 が存在し、この脆弱性を悪用する脅威アクターに、IT/OT ネットワーク上の Windows エンジニアリング・ワークステーションへの侵入を許してしまうと言われている。

それにより、ICS システムへのアクセスを悪用して特権昇格させ、ネットワーク内で横方向に移動し、液化天然ガス (LNG) や電力環境における、基幹機能が妨害されると、各機関は述べている。

2022年初頭から、サイバー・セキュリティ企業の Dragos は、このマルウェア PIPEDREAM を追跡してきた。同社は、「このマルウェアは、敵対者がターゲットや環境に応じて混乱や劣化を、そして、場合によっては破壊を引き起こすために活用できる、モジュール式の ICS 攻撃フレームワークだ」と表現している。

Dragos の CEO である Robert M. Lee は、このマルウェアを CHERNOVITE と呼ばれる国家支援ハッカーと結びつけ、破壊的なツールキットではあるが、実際の攻撃に使用されていないと確信を持っている。つまり、意図された効果を得るための展開の前に、産業用サイバー攻撃機能が発見された。おそらく初めての例である、と述べている。

PIPEDREAM は、その目的を達成するために5つのコンポーネントを備えており、偵察/ターゲット機器のハイジャック/コントローラの実行ロジックの改ざん/PLC の破壊を可能にする。その結果として、産業環境の安全性/可用性/制御性の喪失を、効果的に実施するものとされる。

また、この汎用性の高いマルウェアは、コントローラ・アプリケーションをプログラミングするための、サードパーティ製開発環境である CODESYS を悪用するものである。CODESYS では、これまでの1年間だけでも、17種類ものセキュリティ脆弱性が存在していたことが発覚している。

Dragos は、「安全制御装置などの機械自動制御装置を再プログラムして、緊急停止システムなど無効化し、その後に、運用環境を危険な状態に陥れる可能性がある」と は警告している。

この情報開示と同時に、脅威情報企業である Mandiant が、Schneider Electric および Omron の機械自動化装置を標的とした、新型の ICS 指向の攻撃ツール群」と呼ぶものを発見したと報告している。

このマルウェアは、OPC UA/Modbus/CODESYS などの産業用ネットワーク・プロトコルを介して、複数の産業分野で活用されている多様な機械に組み込まれた、特定の産業用機器と相互作用するように設計されており、INCONTROLLER と命名されているとのことだ。

ただし、政府機関だけでなく、Dragos や Mandiant などが、このマルウェアを発見した方法は不明である。今回の発見が詳述されたのは、先週にウクライナのエネルギー供給会社に対して行ったサイバー攻撃が失敗したときに、スロバキアのサイバー・セキュリティ企業である ESET が、Industroyer マルウェアのアップグレード版が使用されたと述べた翌日のことである。

Mandiant は、「INCONTROLLER (別名 PIPEDREAM) は、例外的に稀なほど危険なサイバー攻撃能力を有している。2017年に産業安全システムを無効にしようとした Triton や、2016年にウクライナで停電を引き起こした Industroyer、そして 2010年頃にイランの核プログラムを妨害した Stuxnet に匹敵する」と述べている。

潜在的な脅威を軽減し、ICS/SCADA 安全に保護するために、ユーザー組織はリモートアクセスに多要素認証を実施し、定期的にパスワードを変更し、悪意の指標や行動を継続的に監視すべきだと、政府機関は推奨している。

この記事と同日の 4月13日には、「ICS Patch Tuesday: Siemens/Schneider の SCADA における深刻な脆弱性が FIX」というポストもありました。ベンダーとしては Schneider が重複していますが、OMRON や OPC UA などの記載はないので、まったくの別件のようです。文中の、OPC UA/Modbus/CODESYS などの産業用ネットワーク・プロトコルを介してという部分が引っかかります。ASRock 製のマザーボード・ドライバーの脆弱性 CVE-2020-15368 との関連も気になります。よろしければ、カテゴリ ICS を、ご参照ください。

%d bloggers like this: