R4IoT キルチェーン実証概念：IoT／IT からの侵入と OT へのランサムウェア攻撃を簡潔に証明

Researchers Devise Attack Using IoT and IT to Deliver Ransomware Against OT

2022/06/01 SecurityWeek — ランサムウェアとは、恐喝の一種である。その唯一の目的は、被害者から金銭を引き出すことだ。産業界が身代金要求の回避に成功すると、攻撃者はもう一つのレベルの強要を、すなわちデータ恐喝を追加するという、二重の強要を作り出した。防御側が二重の恐喝を上手くわすようになると、攻撃者は再び進化を遂げるだろう。最も明白な道は、IT だけでなく OT (Operational Technology も攻撃することだろう。OT に対する攻撃の実現は困難だが、その効果を緩和することも同様に困難である。サイバー恐喝の進化は、OT に対する攻撃を、単なる可能性には留まらせない。

Forescout の Vedere Labs は、イニシャル・アクセスに IoT を、トラバーサルに IT を、起爆に OT (特にPLC) を使用する、ランサムウェア攻撃の概念実証 (PoC) を発表している。それは R4IoT と呼ばれ、次世代のランサムウェアだと説明されている。

この PoC の恐ろしい点は、何も新しいことを必要としないことだ。IoT へのイニシャル・アクセスが選ばれたのは、他のネットワークよりも防御的な注意が払われない、IoT デバイスが増加しているためである。このようなアクセスは、今後も増加することが予想される。

IT を介したトラバーサルは認識され、理解されているが、攻撃者が移動していくという傾向は最近のものであり、常に見られてきたとは限らない。 しかし、現代企業におけるデジタル・トランスフォーメーションにより、IT から OT へとネットワークを渡っていく、新たな移行の可能が高くなっている。つまり、 今回の PoC 全体においては、これまでの脆弱性と、これまでの悪用方法が使用されている。

重要な産業 (例：Colonial Pipeline) は、身代金を支払う可能性が高く、しかも迅速に支払えるため、重要産業の OT に対する攻撃は避けられないものになるだろう。Forescout POC である R4IoT は、いかに簡単に、この種の恐喝を、犯罪組織が行えることを示すためにデザインされているが、このプロセスを悪用する国家により、重要インフラに対するワイパーの配信が可能であることも指摘している。

それを行うには、ターゲットとなるネットワークに関する知識が必要であり、技術的にも難しいとされる。しかし、敵対する国家は、何年も前から重要ネットワークに潜入して監視を継続していると考えられており、必要されると知識を、すでに得ているという可能性もある。

Forescout の研究成果から、明らかになった最も重要な２つの視点は、IoT デバイス経由での侵入が増加する可能性と、APT レベルの高度な専門知識がなくても、強奪目的で OT ネットワークが破壊される可能性である。

犯罪者たちは、すでに IoT を悪用する可能性に着目しており、エクスプロイト・コードはダークウェブから購入できる。Forescout のレポートには、「Lemon Duck は、IoT デバイスをエントリ・ポイントとして悪用し、コンピュータに感染していく Monero クリプトマイニング・ボットネットである。Conti ランサムウェアグループは、ルータ／カメラ／NAS などの Web インターフェースが露出したデバイスをターゲットとして、侵害した組織内で移動していく。Trickbot マルウェアの亜種は、C&C サーバに連絡するプロキシとしてルータを使用し、Cyclops Blink マルウェア (国家に支援された Sandworm グループに関連) はイニシャル・アクセスのためにルータを搾取している」と記されている。

IoT の脅威は、ネットワークの重要な一部であることを、ほとんど認識せずに設置されているデバイスの数に起因している。IoT デバイスには、一般的なネットワーク要素に適用されるような、厳格な防御やパッチ適用が施されることがない。しかし、これらの機器は一般的に、インターネットと内部インフラの両面に露出しているため、犯罪者が簡単にアクセスできるようになっている。

この報告書では、IT 側の運用については、依然として十分に解決されていないが、よく認識されている問題でもあるため、詳細には触れていない。その代わり、IoT や OT の組み込みデバイスにフォーカスしている。

このレポートには、「IoT や OT の組み込みデバイスがもたらす、イニシャル・アクセスと甚大な影響を結びつける要因は、数百万台とも言われる一連のデバイスに対して、同時に影響を与えるサプライチェーンの脆弱性が高まっていることだ」と記されている。

研究者たちが指摘するのは、TCP/IP スタックに影響をおよぼす Project Memoria および、RTOS に影響をおよぼす BadAlloc 、人気の IoT 管理プラットフォームに影響をおよぼす Access:7、多くの Linux デバイスが使用する BusyBox などの脆弱性である。

その一方で、R4IoT ランサムウェアの進歩については簡単に説明されている。ネットワーク上の各種のマシンをマッピングし、管理者アカウントの NTLM ハッシュと impacket 内の WMI 機能を介して接続する。続いて、Windows Firewall と Windows Defender を無効化し、他の R4IoT 実行ファイル (暗号マイナーおよび、重要なIoT/OT 資産に DoS 攻撃を仕掛ける Memoria 実行ファイル) をドロップする。

Racketeer ツールキットの修正版は、C&C Server/Agent の機能を提供する。C&C Server からの要求に応じて、C&C Agentは、感染させたマシン上のファイルを暗号化／復号化し、ファイルを流出させ、管理者権限で任意の実行ファイルを起動できる。

このレポートで展開されるシナリオでは、攻撃者が IoT デバイスを介して IT へのアクセスに成功し、IT/OT コンバージェンスにより OT へのアクセスを獲得した場合の、被害について焦点が当てられている。Purdue Level 2 以上では、通常の Windows/Linux マシンにおいて、ある程度の被害が出る可能性がある。しかし、Forescout は、より劇的で即効性があり、軽減が困難な PLC への攻撃にフォーカスしている。PLC が外部に露出することは稀であるため、内部で発生する DoS 攻撃に着目している。

ほぼ全ての業界の組織を合算すると、ProjectMemoria に対して脆弱とされる TCP/IP スタックを実行している、50万を超えるデバイスが存在する。 これらのデバイスの悪用に成功した攻撃者は、前述のような単純なサービス拒否攻撃により、多様な組織を混乱させることが可能だ。DoS が PLC が効果的にダウンさせると、ダメージが発生する。コンベアベルトであれ輸液ポンプであれ、企業の機能の重要な部分を、停止させることは可能である。

Forescout Vedere Labs のセキュリティ研究責任者である Daniel dos Santos は、「OT を保護するために、残された時間はない。極端な例を挙げると、貧弱なガスパイプラインに接続して圧力状態を測定している場合に、なんらかの爆発が生じる可能性もある。そのポイントに攻撃者が到達し、デバイスのオフライン化や設定変更を行えば、物理的な危険度は拡大する。おそらく、IT データにおける危険性よりも、はるかに深刻な事態となる」と、SecurityWeek に述べている。

R4IoT には、新たなマルウェアは含まず、また、利用されるのは既存の脆弱性である。さらに心配なことに、今回の概念実証で示されるものには、それほどの技術レベルを持たないハッカーが Ransomware as a Services を利用し、大規模な攻撃を行う可能性も含まれている。つまり、重要な産業は、特に IT 部門を標的としたランサムウェア攻撃に備える必要があるということだ。

サイバー攻撃に際して、システムのオフライン化という、従来の IT ランサムウェアへの対応は OT に通用しない。それは、Daniel dos Santos が自殺行為と表現するようなものだ。攻撃の進行を食い止めることはできても、攻撃の最終的な目的である、システムの停止という結果を、自ら招いてしまうことになる。それぞれの組織は、直ちに対策を講じる必要がある。そのために必要なのは、ゼロトラスト・セグメンテーションと異常検知などによる、IT と OT に対する可視性の向上であり、他に道はない。

Dos Santos は、「R4IoT とは、ランサムウェアが IoT に与える影響を分析するために、初めて作られたアーティファクトである。つまり、IoT 経由のイニシャル・アクセスがあり、IT ネットワーク内を横へと進む移動があり、その後に OT ネットワークに影響をおよぼすという、完全な実証概念を実現している」と続けている。

脅威アクターたちは、以前よりも広範な脅威表面を悪用している。また、いまのハッキング・グループ・フォーラムでは、IoT アクセスに関する議論が見かけられる。プロアクティブな防御を強化し、重要な IT／OTインフラから、IoT デバイスを適切に分離するための知識武装が、組織にとって不可欠になってきている。

R4IoT というキルチェーン・モデルは、１：イニシャル・アクセスに IoT を、２：トラバーサルに IT を、３：起爆に OT (特にPLC) を使用する、ランサムウェア攻撃の概念実証 (PoC) です。長い記事なので、ロジックを追っていくのも大変ですが、なるほどと思わせる記述が、たくさん含まれています。この記事の元データになっている Ransomware Evolution : How R4IoT Works は、全体で 29ページの大作です。図表もたくさん入っているので、ご興味のある方は、ダウンロードして、ご参照ください。