エネルギー企業やインフラを狙うサイバー攻撃グループ「Dragonfly」

『Security Affairs』

November 1, 2017 08:00
by 『Security Affairs』

米国土安全保障省(DHS)と連邦捜査局(FBI)が発表した警告によれば、複数のAPTグループが現在、「政府機関」および「エネルギー、原子力、水道、航空、重要製造業に携わる企業」を積極的に狙っている。

その警告は「エネルギーや、その他の重要インフラのセクターを標的として、遅くとも2017年5月から現在まで行われているAPT活動」について彼ら(標的となりえる組織)に知らせるため、金曜日にメールで送られたものだ。

「その攻撃者たちは、遅くとも2017年5月以降、政府機関、およびエネルギー、水道、航空、原子力、重要製造のセクターを狙ってきた。彼らが自身の能力を実際に行使し、被害者のネットワークを危殆化したケースもある」と、警告には記されている。

「それらの活動に関する明確なインディケーターや行動は、DHS、FBI、そして信頼できる複数のパートナーの分析によって確認されてきた。より具体的に言えば、シマンテックが2017年9月6日に発表したレポート『Dragonfly: Western energy sector targeted by sophisticated attack group』は、この継続している攻撃活動に関して、さらなる情報を提供している」

そのハッカーたちは、意図した機関を攻撃するため、サードパーティの供給者や契約者たち(ステージングターゲット/足場となる標的)を狙っていた。

この攻撃者たちは、「最終的な目標となる被害者」への攻撃を開始する際、足場となる標的のネットワークをピボットポイント、およびマルウェアのリポジトリとして活用する。

警告によれば、その活動は現在も継続中であり、また政府の専門家たちは、「遅くとも2011年から米国とカナダの防衛や航空の企業を標的としてきたハッキンググループDragonfly(別名「Energetic Bear」)が、その活動に携わっている」と考えている。このDragonflyは2013年初頭の第二段階においてのみ、米国と欧州のエネルギー企業を標的とした活動に注力した。

シマンテックのセキュリティ専門家たちは2014年、米国、イタリア、フランス、スペイン、ドイツ、トルコ、ポーランドの組織を標的とする新たな活動を暴いた。

ハッキンググループDragonflyは、エネルギー網の事業者、大手発電企業、石油パイプラインの事業者、およびエネルギー産業の産業機器プロバイダーに対してサイバースパイ活動を行っていた。

DHSが発表したJARのレポートによると、Dragonflyは「ロシア政府と関連づけられるAPTの実行者」だった。

その悪名高いグループは2015年12月以降、感知されることがなかった。しかし現在、研究者たちは「Dragonflyが欧州と米国のエネルギー企業を狙っている」と指摘した。

2017年9月、その攻撃者たちはエネルギー施設の運用システムの制御を(あるいは運用の妨害すらも)狙って活動した。

現在も継続している活動の話に戻ろう。その攻撃者は、スピアフィッシングの活動を開始している。

「彼らはスピアフィッシング活動においてMicrosoft Officeの機能を利用し、SMBプロトコルを用いるリモートサーバーから文書を抜き出すために、メールの添付ファイルを利用した(リクエストの例:file[:]///Normal.dotm)。Microsoft Word標準の実行プロセスの一部として、このリクエストでは要求されたファイルを取得する前にユーザーのクレデンシャルのハッシュをリモートサーバーに送信し、サーバーでクライアントを認証する」と、その警告文は記している(注:資格情報の転送が行われるとき、必ずしもファイルが取得されるわけではない)。それから脅威の実行者たちは、おそらくパスワードクラッキングの技術で平文のパスワードを取得する。いったん有効な資格情報を得てしまえば、彼らは「承認されたユーザー」に成りすますことができる。

またAPT28のハッカーは、PDF形式の一般的な契約書のスピアフィッシングメールも使用していた。それは、たとえ悪意のあるコードを含んでいなくとも、受信した人物がリンク(短縮されたURL)をクリックすることによって、悪意あるファイルをダウンロードするように仕向けるものだ。

メールを受け取った人物に「添付ファイルをクリックしたい」と思わせるため、(このスピアフィッシングで)武器として用いられる添付ファイルは、産業コントロールシステムの人事で使われる本物の履歴書やレジュメ、あるいは招待状やポリシー文書などを参考にして作られている可能性がある。

「そのメールは、産業コントロールシステムの人事に用いられる本物のレジュメや履歴書、招待状、ポリシー文書に見えるMicrosoft Wordの添付ファイルを利用していた。それらはユーザーに添付を開くよう仕向けるものだ。ファイル名のリストはIOCで公開されている」と、その警告は続いている。

さらに攻撃者たちは、水飲み場攻撃の手法も用いていた。彼らはプロセスコントロール、ICS、あるいは重要インフラに関連している業界紙や情報のウェブサイトを侵害する。CS-CERTで発表された警告文では、インディケーターや侵害行為、攻撃に用いられたファイル名、MD5ハッシュなどに関して、より詳細な情報を読むことができる。
 
翻訳:編集部
原文:DHS and FBI warn of ongoing attacks on energy firms and critical infrastructure
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。

ニュースのポイント(THE ZERO/ONE編集部より)

Dragonflyはエネルギー業界を狙って6年ほど活動している攻撃グループだ。

本文に出てくるシマンテックのレポートは日本語版が出ており、「Dragonfly: 欧米のエネルギー業界を狙う高度な攻撃グループ」で読むことができる。シマンテックのレポートでは、Dragonflyの初期活動は、攻撃対象に対する調査を行い、最近のDragonfly 2.0では運用システムに対してアクセスできるようになっており、将来はエネルギー組織に対する破壊活動を行なうのではないかと指摘している。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…