Clop ランサムウェアが英国の水道施設を攻撃:別会社を誤って恐喝して訂正

Hackers attack UK water supplier but extort wrong company

2022/08/16 BleepingComputer — 160万人の消費者に対して、3億3000万リットル/日の飲料水を供給している South Staffordshire Water が、サイバー攻撃と情報の混乱に関する声明を発表した。同社の発表によると、現時点で安全性は確保され、給水システムは稼働しており、子会社である Cambridge Water/South Staffs Water を含めて、安全な水の供給には支障がなく、システムも混乱していないとのことだ。

South Staffordshire Water は、「当社は、水の供給/品質に関して強固なシステムと、管理体制を常に敷いている。それに加えて、今回のインシデントへの対応と、予防的な措置を迅速に行った。ためだ」と説明している。また、South Staffordshire Water は、すべてのサービス・チームが、通常どおりに業務を行っており、サイバー攻撃による長時間の停止のリスクが無いと、顧客に伝えている。

Clop は被害者を誤認したか?

その一方で、今日になって Clop ランサムウェア・グループは、彼らの Tor サイトでの発表において、Thames Water をターゲットにして、1500万人の消費者に被害を与えることを目的とし、外部からの操作が可能な SCADA システムに侵入したと主張している。

Thames Water は、英国最大の水供給会社であり、ロンドンおよびテムズ川流域で下水処理事業を展開している企業である。Clop は Thames Water に対して、ネットワーク・セキュリティの不備を突いたと主張し、侵害したシステムのデータは暗号化せずに、 5 TB を盗み出したと述べている。

Part of Clop's claims in the extortion site
データ流出サイトにおける Clop の主張の一部

しかし Clop は、身代金の支払い交渉の決裂を受け、水処理 SCADA システムのスクリーンショットや、従業員のパスポート/運転免許証などを含む、窃取したデータの最初のサンプルを公開した。

今日、Thames Water は声明を通じて、これらの主張に公式に反論した。Clop が同社のネットワークに侵入したという報告はフェイクであり、同社の業務はフル稼働を続けていると述べている。

このインシデントにおいて重要なのは、Clop が公開したサンプルの一部としての、ユーザー名/パスワードの入ったスプレッドシートにある。そこに記載されるメールアドレスが、South Staff Water/South Staffordshire になっているのだ。

Published evidence pointing to South Staffordshire Water
SSW を指し示す公開された証拠

さらに、BleepingComputer も、標的となった企業に送られた流出文書の1つは、 South Staffordshire PLC 宛になっていることを発見した。このことから、Clop が被害者を誤認したか、偽の証拠を使うことで、より大きな企業を攻撃しようとしている可能性が非常に高いと考えられている。この攻撃は、英国の消費者にとって深刻な、干ばつの時期に発生している。英国国内の8つの地域では、水の配給制限が実施され、ホースの使用が禁止されている。

サイバー犯罪者が、無作為にターゲットを選ぶことはない。厳しい干ばつ期に水道供給会社を攻撃すれば、要求された身代金を支払うよう強要できるだろう。Clop は、 身代金の奪取を成功させるために、脅威を正しいエンティティにリダイレクトする必要がある。しかし、問題が広まったことを考えると、おそらく手遅れだろう。

Update 8/17/22 : Clop は誤りを訂正し、現在、恐喝サイトの被害者として South Staffordshire Water を掲載している。

脅迫先を間違えるとは、なんとも間抜けな話ですが、水処理 SCADA (Supervisory Control And Data Acquisition) システムのスクリーンショットをサンプルとして提示している点が、とても気になります。この先には、ポンプやバルブなどを制御する PLC (Programmable Logic Controller) がつながっているはずなので、とても恐ろしいことなのです。OT への攻撃シナリオとしては、6月1日の「R4IoT キルチェーン実証概念:IoT/IT からの侵入と OT へのランサムウェア攻撃を簡潔に証明」や、8月16日の「Evil PLC という攻撃シナリオ:武器化した PLC から OT/IT ネットワークを侵害する」がありますので、よろしければ、ご参照ください。

%d bloggers like this: