先月 12 月に、ウクライナの電力会社に対する攻撃で使われたと報じられている破壊力の強いトロイの木馬(シマンテックは Trojan.Disakil として検出します)は、それより前にも、同国のメディアを標的にして使われていたことが判明しました。シマンテックの遠隔測定によると、ウクライナの主要メディア企業の複数のコンピュータが 10 月には Disakil に感染していたことが確認されており、マルウェアによって破壊された可能性があります。
あるコンピュータは、トロイの木馬 BlackEnergy(Backdoor.Lancafdo として検出されます)の新しい亜種に感染していました。攻撃者は、この感染を利用して、管理者のログイン情報を取得し、それを使って多くのコンピュータ上で Disakil を実行したようです。Disakil が実行されると、感染したコンピュータからの通信が停止することから、Disakil はファイルを消去して操作不能にしているものと考えられます。
トロイの木馬 Black Energy を操っているグループは Sandworm として知られており、これまでにもウクライナの企業を標的にしてきました。それだけでなく、NATO や西ヨーロッパの各国、エネルギー産業の企業も狙われていることが確認されています。
ウクライナの停電との関連性 シマンテックには、Disakil のごく最近の標的に関する遠隔測定の結果はありませんが、ウクライナの電力会社を狙い、大規模な停電をもたらした 12 月の攻撃に Disakil が関与していたことは、すでに指摘されています。
ウクライナ保安庁(SBU)の Web サイトに掲載された公式声明では、地元電力会社のネットワークで、停電の原因となった悪質なソフトウェアを発見したと発表されています。この声明によると、このサイバー攻撃に伴ってテクニカルサポートの電話窓口に問い合わせが殺到し、それが一種のサービス拒否(DoS)攻撃の様相を呈したということです。
一方、SANS ICS チームのブログ記事でも、12 月 23 日に起きた攻撃のひとつで使われた Disakil のサンプルを、信頼できる筋から入手したと報じています。
Disakil の動作 シマンテックは、停電の原因となったサイバー攻撃で Disakil で使われたことを、現時点では確認できていませんが、その破壊的な性質は確かめることができます。
Disakil は多段階の脅威であり、最大の特徴は破壊を狙うその貪欲さにあります。実行されると、Disakil は感染したシステムを使用不能にする動作を開始します。このとき使われるさまざまな手口は、比較的単純でありながら効果的です。たとえば、MBR(マスターブートレコード)を上書きする、あるいは特定の形式のファイルをごみデータで上書きするといった手法です。また、システムを再起動する前に Windows のログファイルを消去し、マルウェア構造を破壊して、その痕跡を隠そうとします。
Disakil で特筆すべき特徴のひとつが、「sec_service」というサービスを停止して削除しようと試みることです。これは、Eltima 社の Serial to Ethernet Connector(シリアル・イーサネット間コネクタ)というソフトウェアに属するサービスのようで、このソフトウェアはネットワーク接続を介してリモートのシリアルポートへのアクセスを可能にします。レガシーの SCADA システムには、RTU(リモートターミナルユニット、またはリモートテレメトリユニット)通信にシリアルポートを使うものがいまだに数多く存在します。Serial to Ethernet Connector は、企業環境でこうしたレガシー機器とのリモート通信を実現するためのソリューションです。
メーカー各社によると、RTU には機器の障害を監視する分離型アラーム、LAN の障害発生中でも監視を行える冗長バックアップ通信、そして電圧や温度、湿度、圧力を監視するアナログアラーム入力といった機能があります。理論上は、標的がレガシーの SCADA システムとの通信にこのソフトウェアを使っていることを攻撃者が察知すれば、sec_service サービスとそこでの通信を停止して、標的の環境に損害を与えられることになります。
まとめ エネルギー産業を狙ったこの種の攻撃は、前例がないわけではありません。2012 年には、シマンテックが Shamoon 攻撃について報じています。このときは、エネルギー産業の少なくとも 1 社が、今回ときわめて類似した手法の攻撃を受け、標的となったシステムが使用不能に陥りました。Disakil は破壊的な機能を備えていることから、標的の環境に甚大な損害を与えようと考える攻撃には理想的と言えるでしょう。
保護対策 シマンテック製品とノートン製品を使えば、次の検出定義で Disakil とそれに関連する脅威に備えることができます。
ウイルス対策
侵入防止システム
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】