Sandworm(ELECTRUM, Telebots, IRON VIKING, BlackEnergy, Quedagh, Voodoo Bear, IRIDIUM)について

ここでは、ロシアが背後にいるとされている脅威アクターの「Sandworm(ELECTRUM, Telebots, IRON VIKING, BlackEnergy, Quedagh, Voodoo Bear, IRIDIUM)」について、2024年時点で判明していること等をまとめます。

Sandwormについて

 脅威アクター「Sandworm(ELECTRUM, Telebots, IRON VIKING, BlackEnergy, Quedagh, Voodoo Bear, IRIDIUM)」は、ロシア参謀本部情報総局 (GRU) 特殊技術主要センター (GTsST) 軍事部隊 74455 によるものとされている破壊的脅威グループです。2022年には、ロシアによるウクライナ侵攻に絡んでワイパーウェアやICS/OTを対象としたサイバー攻撃を行っています。

 Sandwormは2009年から活動しています。エネルギー、輸送システム、金融サービス部門などのさまざまな重要インフラ組織をターゲットにしています。 SandwormはNATO加盟国・西側の政府・軍事組織・エネルギー分野等の重要インフラ等に対して、スパイ活動や破壊作戦を行ってきた広範な経歴を持っています。

この脅威アクターの特徴は、DDoS攻撃やワイパーマルウェアを使用して、標的の組織に破壊的な影響を与えることを目的としていることです。

2020年10月に、米国は以下のサイバー作戦に関してGRU部隊74455(Sandwormに関係していると思われている)の職員6名を起訴しました

  • 2015年と2016年のウクライナの電力会社と政府機関に対する攻撃攻撃
  • 2017年のNotPetyaによる大規模な攻撃
  • 2017年のフランス大統領選挙キャンペーンを標的とした攻撃(いわゆる#Macron Leaks)
  • 2018年の平昌冬季オリンピックに対しての「Olympic Destroyer」マルウェアによる攻撃
  • 2018年の化学兵器禁止機関に対する作戦(APT28による攻撃を参照)
  • 2018年と2019年のジョージア国に対する攻撃(APT28による攻撃を参照)

他にも、2022年にはウクライナ侵攻に絡んで積極的なIT/OT攻撃を行っているとのことです。また、ウクライナのCERT-UAが、ウクライナ国営通信社 (Ukrinform) へのデータワイプ攻撃をSandwormグループと結びつけています。

NotPetyaによるウクライナへのサイバー攻撃

 Petya・NotPetyaの関係はProofpointの記事がわかりやすいので、こちらを参考にする形で纏めていきます。

元々「Petya」という、MBRに感染するタイプのランサムウェア(システムが再起動され、赤いドクロマークと共に身代金支払いが要求される)が2016年ごろに発見されていました。これはこれで、ランサムウェアとして名を馳せたわけですが、さらにこのPetyaの亜種「NotPetya」が2017年に登場し、ウクライナの企業を標的とした大規模なサイバー攻撃を行いました。

Cisco Talosの調査によると、NotPetya(Nyetya)と呼ばれるこの亜種はネットワーク内での水平移動の際に

  • EternalBlue
    • WannaCryで使用されているものと同じくMicrosoft Windowsの脆弱性MS17-010を悪用したエクスプロイト。
  • EternalRomance
    • ShadowBrokers」によって漏洩された SMBv1 エクスプロイト。米国家安全保障局 (NSA) により開発され、後に盗み出されている。
  • WMI
    • 正規のWMI(Windows Management Instrumentation)
  • PsExec
    • 正規の Windows 管理ツール

を使用します。

感染はMeDocと呼ばれるウクライナの税務会計パッケージのソフトウェア更新システムに関連していました。ウクライナサイバー警察によると、この会計パッケージ・ソフトウェアはウクライナ政府と協力している企業が使用する必要があるため、政府・銀行・国営電力会社・キエフの空港・地下鉄システムなど多くのウクライナの組織が被害に遭いました。また、チェルノブイリの放射線監視システムもオフラインになりました。

更に攻撃の第2波はフィッシングメールを介して拡散しました。

最終的にこのマルウェアは、広告会社WPP・フランスの建設資材会社サンゴバン・ロシアの鉄鋼/石油会社エブラズ社・ロスネフチ社など、ヨーロッパと米国の大企業に深刻な混乱を引き起こしました。食品会社モンデリーズ・法律事務所DLAパイパー・デンマークの海運輸送会社APモラー・マースク・ピッツバーグの病院運営会社ヘリテージ・バレー・ヘルス・システムマルウェアの被害を受けたと述べています。

Cisco Talosでは、このNotPetya攻撃の背後にある意図は本質的に「破壊」であり、経済的動機ではないと高い確信を持って評価しています。

 2018年にNational Cyber Security Centreは、この「NotPetya」サイバー攻撃の犯人はほぼ確実にロシア軍であるとしています。外務省サイバーセキュリティ担当大臣ウィンブルドンのロード(タリク)・アハマド氏は「英国政府は、2017年6月の破壊的なNotPetyaサイバー攻撃の責任はロシア政府、特にロシア軍にあると判断した。」と述べてロシアを非難しています。

#Macron Leaksについて

 2017年、フランス大統領選挙の決選投票日(5 月 7 日)直前に、PastebinにEmmanuel Macron大統領候補の選挙事務所から盗み出されたメール情報等がアップされました。Twitter 上では#MacronLeaks のハッシュタグとともに情報が拡散し、WikiLeaksも情報の暴露を行いました。

「Olympic Destroyer」マルウェアによる攻撃

 2018年の平昌冬季オリンピックで、英国の新聞ガーディアンは、2月9日にオリンピックのコンピューターシステムが開会式中に技術的な問題に見舞われたことを示唆する記事を報じました。その後、2月11日にオリンピック競技大会関係者はサイバー攻撃が発生したことを認めました。 ガーディアンの記事によると式典の直前に

  • 平昌2018公式サイトが機能を停止し、ユーザがイベントのチケットを印刷できなくなる
  • 平昌オリンピックスタジアムのWi-Fiも停止
  • メインプレスセンターのテレビとインターネットが停止し、何千台ものテレビが真っ暗になる
  • RFIDベースのセキュリティゲートがすべてダウン

等のトラブルが発生しました。

 Cisco Talosの調査によると、マルウェア内でクレデンシャルがハードコードされていたということでした。つまりOlympic Destroyerによる攻撃前に、既にオリンピック関連インフラが侵害されていて、クレデンシャルが流出していた可能性があります。Cisco Talosによると、マルウェアのコードにユーザーネームとパスワード44個のリストが含まれており、すべてが平昌五輪のウェブサイト「pyeongchang2018.com」のアカウントだったとの事です。

 また、Olympic Destroyerによる被害者は平昌オリンピックだけではありませんでした。Kasperskyの調査によると、サイバー攻撃は、オリンピックを支援していたフランスのITサービスプロバイダーのアトスや平昌の2つのスキー場など、オリンピックに関係する他の標的も攻撃したそうです。そのうちの 1 つのリゾートでは、自動化されたスキーゲートとスキーリフトが一時的に麻痺するほど深刻な被害が発生しました。

Olympic Destroyerの巧妙なところは、攻撃者がどこの所属かを中々つかませなかった点です。ソースコードはロシアのNetyaやBadRabbitと似ていましたが、Kasperskyが調査した所メタデータ(ヘッダー)がLazarusのマルウェアに一致していたとの事で、かつ動機もどちらの国にもある状態でした。例えばロシア政府は当時、ドーピングによるオリンピックからの締め出しに「激怒」しており、この最悪の侮辱に対する報復としてハッキングすら辞さない決意を示していました。

しかしKasperskyの入念な三重チェックで、メタデータが偽造されていた(北朝鮮のものに見せかけていた)ことがわかりました。最終的にはFireEyeの「Michael Matonis」氏が、このマルウェアとSandwormとの関係を明らかにした様です。また別に、ワシントン・ポスト紙への投稿で、この攻撃がロシアによる攻撃であると結び付けられています。

VPNFilterマルウェアによる攻撃

 2018年5月23日に、Cisco Talos からネットワーク機器を標的としたVPNFilterマルウエアに関する調査結果が公開されました。VPNFilterは2016年から確認されており、2018年5月から世界中で感染活動が拡大しています。感染したデバイスの数は、少なくとも 54カ国 50万台と推定され、QNAP、Linksys、MikroTik、NETGEAR および TP-Link の製品が対象となっているとのことです。

VPNFilter マルウェア感染による悪影響は次のとおりです。

  • 機密情報または専有情報の一時的または永久的な損失
  • 通常の業務への支障
  • システムとファイルを復元するために発生する経済的損失
  • 組織の評判を損なう可能性

ウクライナ秘密情報部(SBU)によると、VPNFilter マルウェアは、ウクライナのインフラストラクチャのこの重要な要素を妨害する目的で使用されたものでした。上下水道への液体窒素供給を止めてインフラを破壊する攻撃が行われたが未然に防げた様です。

更に、先述の冬季オリンピックのシステムに対してVPNFilterが展開されたという情報もあります。

2022-2023年のSandwormの活動

 Mandiantの調査によると2022年にSandwormは産業用制御システム (ICS) や運用テクノロジー (OT) に影響を与える様なマルチイベントサイバー攻撃を展開しました。攻撃者はまず、OTにliving-off-the-land攻撃(LOTL:所謂ファイルレスマルウェアで、攻撃者が標的システム内にコードなどを仕込むこと無く、PowerShell・Windows Management Instrumentation (WMI)・ntdsutil・netsh・パスワード保存ツール等の環境内にすでに存在するツールを使用して攻撃を実行することで検出を困難にする攻撃)を使用して変電所のブレーカーを落とし、ウクライナ全土の重要インフラへの大量ミサイル攻撃と同時に計画外の停電を引き起こしました。 Sandworm はその後、被害者の IT 環境に CADDYWIPER(データを完全破壊するワイパー型マルウェア)を用いて2回目の攻撃を実行しました。

 侵入は 2022年6月以前に始まり、2022/10/10と2022/10/12の2つの破壊的なイベントを行いました。初期アクセスベクトルは判明していませんが、

  • Sandworm は、被害者の変電所環境の監視制御およびデータ収集 (SCADA) 管理インスタンスをホストするハイパーバイザーを通じて OT 環境にアクセスしました(最大3ヶ月間、SCADAシステムにアクセスできた模様)。
  • 2022/10/10に、Sandwormは「a.iso」という名前のISOイメージを利用してMicroSCADAバイナリを実行し、変電所の電源を切る悪意のある制御コマンドを実行しようとした可能性があります。ISO ファイルには少なくとも次のものが含まれていました。
    • n.bat を実行する「lun.vbs」
    • 「n.bat」。ネイティブの scilc.exe ユーティリティを実行します。
    • 「s1.txt」。不正な MicroSCADA コマンドが含まれている可能性があります。
  • 2022/10/12に、Sandworm は被害者のIT環境にCADDYWIPER(データを完全破壊するワイパー型マルウェア)の新しい亜種を導入してさらなる攻撃(痕跡の完全破壊と隠蔽)を実行しようとしました。しかし、ワイパーの展開は被害者のIT環境に限定されており、ハイパーバイザーやSCADA仮想マシンには影響せず、被害が最小限に留められました。これは、攻撃者の中でのチーム間の調整が不足していることを示している可能性があります。

ウクライナ国営通信社 (Ukrinform) へのデータワイプ攻撃

 CERT-UAの調査によるとウクライナ国営通信社(Ukrinform) に対する攻撃は、その特徴からUAC-0082 (Sandworm) グループによって行われたと推測されています。 Sandwormは、ロシア連邦軍総参謀本部(GRU)に関連しています。 さらに、このグループは、2022 年にウクライナを最も頻繁に攻撃したグループの 1 つです。

  • CERT-UAの発表はこちら。
  • SandWormとの関係性を指摘した発表はこちら
  • ロシアのテレグラム チャンネル「Cyber​​ArmyofRussia_Reborn」では、ハッカーの「成果」が報告されていましたが、DDoS 攻撃や改ざんに関する典型的なメッセージとともにSandworm グループ自体の活動が強調されていたそうです。
  • CERT-UA の専門家によると、攻撃は情報インフラストラクチャに限定的な影響を与えましたが、脅威は迅速に局所化されたとの事です。

参考文献