ヨーロッパの産業用制御システム (ICS) およびオペレーティング テクノロジー (OT) 環境を標的とした 2 つの危険なマルウェア ツールは、ウクライナ戦争によるサイバー被害の最新の兆候です。
「」と呼ばれるツールの1つケープタウン」は、Google のマンディアント セキュリティ グループが今週、ロシア国家支援の多作な脅威アクターであるサンドワームに関連しているようです。 ウクライナの主要サイバー攻撃部隊。フィンランドに本拠を置く WithSecure のセキュリティ研究者は、エストニアの物流会社および東ヨーロッパのその他の標的に対する 2023 年の攻撃に登場したバックドアを発見し、これが現在も進行中の脅威であると認識しています。
破壊的なマルウェア
もう 1 つのマルウェア — ややカラフルな名前が付けられています ファックスネット これは、ウクライナ政府支援の脅威グループであるブラックジャックが、モスクワの下水システムを監視するための大規模なセンサーネットワークを維持している会社モスココレクターに対する最近の破壊的な攻撃で使用した可能性が高いツールです。攻撃者は Fuxnet を使用して、Moskollector のネットワーク上にある合計 1,700 個のセンサー ゲートウェイをブロックすることに成功し、その過程でこれらのゲートウェイに接続されている約 87,000 個のセンサーを無効にしました。
「Fuxnet ICS マルウェアの主な機能は、センサー ゲートウェイを破壊してアクセスをブロックし、物理センサーも破壊しようとすることでした」と、最近 Blackjack の攻撃を調査した ICS セキュリティ会社 Claroty の脆弱性研究ディレクターである Sharon Brizinov 氏は述べています。攻撃の結果、Moskollector は影響を受ける数千台のデバイスのそれぞれに物理的にアクセスし、個別に交換する必要がある可能性が高いとブリジノフ氏は述べています。 「モスクワ全土の下水システムを監視し、運用する[モスクワコレクターの]能力を回復するには、システム全体を調達してリセットする必要がある。」
Kapeka と Fuxnet は、ロシアとウクライナの紛争による広範なサイバー被害の一例です。両国間の戦争が 2022 年 XNUMX 月に始まって以来、そしてそのずっと前から、両国のハッカー グループがさまざまなマルウェア ツールを開発し、相互に使用していました。ワイパーやランサムウェアなどのツールの多くは、 本質的に破壊的または破壊的である 主に両国の重要インフラ、ICS、OT 環境を対象としました。
しかし、両国間の長年にわたる紛争から生まれたツールを使った攻撃が何度か発生し、 より広範囲の犠牲者に影響を与えた。最も注目すべき例は、Sandworm グループが当初ウクライナで使用するために開発したマルウェア ツールである NotPetya ですが、2017 年には世界中の数万のシステムに影響を与えることになりました。2023 年には、 英国の国家サイバーセキュリティセンター (NCSC) と 米国国家安全保障局 NSA は、「Inious Chisel」と呼ばれる Sandworm マルウェア ツールセットが世界中の Android ユーザーに脅威をもたらしていると警告しました。
カペカ: GreyEnergy の Sandworm の代替品?
WithSecure によると、Kapeka は、攻撃者が初期段階のツールキットとして、また被害者のシステム上での長期的な永続化を可能にするために使用できる新しいバックドアです。このマルウェアには、ターゲット マシンにバックドアをドロップし、それ自体を削除するためのドロッパー コンポーネントが含まれています。 「Kapeka は、被害者の財産内で柔軟なバックドアとして動作できるようにするすべての基本機能をサポートしています」と WithSecure の研究者、Mohammad Kazem Hassan Nejad 氏は述べています。
その機能には、ディスクへのファイルの読み取りとディスクへのファイルの書き込み、シェル コマンドの実行、悪意のあるペイロードやプロセスの起動 (常駐バイナリなど) が含まれます。 「初期アクセスを取得した後、Kapeka のオペレーターはバックドアを利用して、発見、追加のマルウェアの展開、攻撃の次の段階の準備など、被害者のマシン上でさまざまなタスクを実行できます」と Nejad 氏は言います。
Nejad 氏によると、WithSecure は Sandworm とそのグループの関係を示唆する証拠を見つけることができました。 GreyEnergy マルウェア 「私たちは、カペカがサンドワームの兵器庫のグレイエナジーの代替となる可能性があると信じています」とネジャド氏は指摘する。 2018 つのマルウェア サンプルは同じソース コードから生成されたものではありませんが、GreyEnergy とその前任者の間にいくつかの重複があったのと同様に、Kapeka と GreyEnergy の間には概念的な重複がいくつかあります。 ブラックエナジー。 「これは、Sandworm が、変化する脅威の状況に適応するために、時間をかけて新しいツールで武器をアップグレードした可能性があることを示しています」と Nejad 氏は言います。
Fuxnet: 破壊し破壊するツール
一方、Clarity の Brizinov 氏は、Fuxnet が特定のロシア製センサー機器に損害を与えることを目的とした ICS マルウェアであると特定しました。このマルウェアは、火災警報器、ガス監視、照明、および同様のユースケース用の物理センサーを監視し、そこからデータを収集するゲートウェイに展開することを目的としています。
「マルウェアが展開されると、NAND チップを上書きし、外部リモート アクセス機能を無効にすることでゲートウェイをブリックして、オペレーターがデバイスをリモートで制御できないようにします」とブリジノフ氏は言います。
次に、別のモジュールが物理センサー自体を無駄な M-Bus トラフィックでフラッディングしようとします。 M-Bus は、ガス、水道、電気、その他のメーターを遠隔から読み取るためのヨーロッパの通信プロトコルです。 「Blackjack の Fuxnet ICS マルウェアの主な目的の 1 つは、センサー ゲートウェイにアクセスした後、物理センサー自体を攻撃して破壊することです」とブリジノフ氏は言います。そのために、ブラックジャックはセンサーに無制限の M-Bus パケットを送信してセンサーをファジングすることを選択しました。 「本質的に、BlackJack は、センサーにランダムな M-Bus パケットを際限なく送信することで、そのパケットがセンサーを圧倒し、潜在的に脆弱性を引き起こしてセンサーを破壊し、操作不能な状態に陥らせることを望んでいたのです。」と彼は言います。
このような攻撃から組織が得られる重要なポイントは、セキュリティの基本に注意を払うことです。たとえば、Blackjack は、デバイス上の弱い認証情報を悪用することで、ターゲットのセンサー ゲートウェイへの root アクセスを取得したようです。この攻撃は、「デバイスが同じ認証情報を共有したり、デフォルトの認証情報を使用したりしないように、適切なパスワード ポリシーを維持することが重要である」理由を浮き彫りにしました、と彼は言います。 「ネットワークのサニタイズとセグメンテーションを適切に導入して、攻撃者がネットワーク内を横方向に移動してマルウェアをすべてのエッジ デバイスに展開できないようにすることも重要です。」
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/ics-ot-security/dangerous-new-ics-malware-targets-orgs-in-russia-and-ukraine
