エネルギー企業やインフラを狙うサイバー攻撃グループ「Dragonfly」

『Security Affairs』

November 1, 2017 08:00
by 『Security Affairs』

米国土安全保障省(DHS)と連邦捜査局(FBI)が発表した警告によれば、複数のAPTグループが現在、「政府機関」および「エネルギー、原子力、水道、航空、重要製造業に携わる企業」を積極的に狙っている。

その警告は「エネルギーや、その他の重要インフラのセクターを標的として、遅くとも2017年5月から現在まで行われているAPT活動」について彼ら(標的となりえる組織)に知らせるため、金曜日にメールで送られたものだ。

「その攻撃者たちは、遅くとも2017年5月以降、政府機関、およびエネルギー、水道、航空、原子力、重要製造のセクターを狙ってきた。彼らが自身の能力を実際に行使し、被害者のネットワークを危殆化したケースもある」と、警告には記されている。

「それらの活動に関する明確なインディケーターや行動は、DHS、FBI、そして信頼できる複数のパートナーの分析によって確認されてきた。より具体的に言えば、シマンテックが2017年9月6日に発表したレポート『Dragonfly: Western energy sector targeted by sophisticated attack group』は、この継続している攻撃活動に関して、さらなる情報を提供している」

そのハッカーたちは、意図した機関を攻撃するため、サードパーティの供給者や契約者たち(ステージングターゲット/足場となる標的)を狙っていた。

この攻撃者たちは、「最終的な目標となる被害者」への攻撃を開始する際、足場となる標的のネットワークをピボットポイント、およびマルウェアのリポジトリとして活用する。

警告によれば、その活動は現在も継続中であり、また政府の専門家たちは、「遅くとも2011年から米国とカナダの防衛や航空の企業を標的としてきたハッキンググループDragonfly(別名「Energetic Bear」)が、その活動に携わっている」と考えている。このDragonflyは2013年初頭の第二段階においてのみ、米国と欧州のエネルギー企業を標的とした活動に注力した。

シマンテックのセキュリティ専門家たちは2014年、米国、イタリア、フランス、スペイン、ドイツ、トルコ、ポーランドの組織を標的とする新たな活動を暴いた。

ハッキンググループDragonflyは、エネルギー網の事業者、大手発電企業、石油パイプラインの事業者、およびエネルギー産業の産業機器プロバイダーに対してサイバースパイ活動を行っていた。

DHSが発表したJARのレポートによると、Dragonflyは「ロシア政府と関連づけられるAPTの実行者」だった。

その悪名高いグループは2015年12月以降、感知されることがなかった。しかし現在、研究者たちは「Dragonflyが欧州と米国のエネルギー企業を狙っている」と指摘した。

2017年9月、その攻撃者たちはエネルギー施設の運用システムの制御を(あるいは運用の妨害すらも)狙って活動した。

現在も継続している活動の話に戻ろう。その攻撃者は、スピアフィッシングの活動を開始している。

「彼らはスピアフィッシング活動においてMicrosoft Officeの機能を利用し、SMBプロトコルを用いるリモートサーバーから文書を抜き出すために、メールの添付ファイルを利用した(リクエストの例:file[:]///Normal.dotm)。Microsoft Word標準の実行プロセスの一部として、このリクエストでは要求されたファイルを取得する前にユーザーのクレデンシャルのハッシュをリモートサーバーに送信し、サーバーでクライアントを認証する」と、その警告文は記している(注:資格情報の転送が行われるとき、必ずしもファイルが取得されるわけではない)。それから脅威の実行者たちは、おそらくパスワードクラッキングの技術で平文のパスワードを取得する。いったん有効な資格情報を得てしまえば、彼らは「承認されたユーザー」に成りすますことができる。

またAPT28のハッカーは、PDF形式の一般的な契約書のスピアフィッシングメールも使用していた。それは、たとえ悪意のあるコードを含んでいなくとも、受信した人物がリンク(短縮されたURL)をクリックすることによって、悪意あるファイルをダウンロードするように仕向けるものだ。

メールを受け取った人物に「添付ファイルをクリックしたい」と思わせるため、(このスピアフィッシングで)武器として用いられる添付ファイルは、産業コントロールシステムの人事で使われる本物の履歴書やレジュメ、あるいは招待状やポリシー文書などを参考にして作られている可能性がある。

「そのメールは、産業コントロールシステムの人事に用いられる本物のレジュメや履歴書、招待状、ポリシー文書に見えるMicrosoft Wordの添付ファイルを利用していた。それらはユーザーに添付を開くよう仕向けるものだ。ファイル名のリストはIOCで公開されている」と、その警告は続いている。

さらに攻撃者たちは、水飲み場攻撃の手法も用いていた。彼らはプロセスコントロール、ICS、あるいは重要インフラに関連している業界紙や情報のウェブサイトを侵害する。CS-CERTで発表された警告文では、インディケーターや侵害行為、攻撃に用いられたファイル名、MD5ハッシュなどに関して、より詳細な情報を読むことができる。
 
翻訳:編集部
原文:DHS and FBI warn of ongoing attacks on energy firms and critical infrastructure
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。

ニュースのポイント(THE ZERO/ONE編集部より)

Dragonflyはエネルギー業界を狙って6年ほど活動している攻撃グループだ。

本文に出てくるシマンテックのレポートは日本語版が出ており、「Dragonfly: 欧米のエネルギー業界を狙う高度な攻撃グループ」で読むことができる。シマンテックのレポートでは、Dragonflyの初期活動は、攻撃対象に対する調査を行い、最近のDragonfly 2.0では運用システムに対してアクセスできるようになっており、将来はエネルギー組織に対する破壊活動を行なうのではないかと指摘している。




ビール祭りにやってきた犯罪者を「顔認識」で一網打尽

November 13, 2017 08:00

by 牧野武文

中国山東省青島市で開催された国際ビール祭りで、青島市開発区警察は、会場に顔認識システムを設置。公安部保有のデータベースと照合することで、犯罪者を抽出し、逮捕するという作戦を実行した。49名の逃亡犯、麻薬犯罪者、スリなどを逮捕する成果をあげたと『新浪科技』が伝えた。 10万人以上がやってくるイベント …

PacSec 2017レポートソフトバンクPepperが危険な理由

November 10, 2017 08:30

by 『THE ZERO/ONE』編集部

米国のセキュリティ企業「IOActive」に所属するセキュリティエンジニア、ルーカス・アパ氏が「スカイネットが来る前にロボットをハックする」と題してロボット、特に家庭向けの製品に関するセキュリティ・リスクについて「PacSec2017」で講演を行った。 家庭用のロボットはリスクだらけ ルーカス氏はネ…