産業施設を混乱させる可能性があるのはIndustroyerウイルスです(そのため、その名前が付けられています)。このソフトウェアは、2016年にサンドワームAPTグループによって最初に使用され、その背後には、ロシア軍参謀本部(GRU)のロシア軍部隊74455の将校がいました。それでも、ハッカーの行動がウクライナへのエネルギー供給の停止につながったため、攻撃の結果は非常に深刻でした。
Industroyerソフトウェアによる深刻なサイバー攻撃の脅威にさらされているウクライナ
ESETとウクライナのCERTの研究者は、最近、Industroyer2と呼ばれる新しいマルウェアの亜種を発見しました。新しいバージョンは攻撃シナリオにより適している可能性があり、ソフトウェアには、そのアクションを制御する詳細なハードコードされた構成が含まれています。
このビルドは、新しい被害者または環境ごとにIndustroyer2を再コンパイルする必要がある攻撃者にいくつかの制限を作成します。ただし、Industroyerファミリーはこれまで2回しか使用されておらず、各バージョン間に5年のギャップがあることを考えると、これはおそらくSandwormグループのオペレーターの制限ではない、とESETのシニアサイバーセキュリティスペシャリストであるKamilSadkowskiは述べています。「現時点では、攻撃者がITネットワークからICSネットワークにどのように侵入したかはわかりません」と彼は付け加えます。
悪意のある「Industroy」は高電圧変電所に配備されたため、2016年よりもはるかに大きな問題が発生するはずでした。攻撃者はここで他のツール(ハードドライブの内容を消去するプログラムであるCaddyWiperを含む)も使用したことを付け加える価値があります。 )、これは回復プロセスを遅くし、さらに多くの損害をもたらすと考えられていました。攻撃は2022年4月8日に開始される予定でした。
CaddyWiperの使用は、システムリカバリプロセスを遅くし、ユーティリティオペレータがICSコンソールの制御を取り戻すのを防ぐことを目的としたものであると考えています。CaddyWiperは、おそらくすべてのトレースをカバーするために、Industroyer2ソフトウェアを実行していたマシンにも配置されました。
高圧変電所への攻撃が長い間計画されていたことは周知の事実です。ESETの専門家によると、Industroyerの作成には、被害者となるはずのシステムに関する十分な知識が必要でした。さらに、コード分析により、このバージョンのIndustroyer2は2022年3月23日にコンパイルされたことが示されました。これは、攻撃者が2週間以上攻撃を計画していたことを示唆しています。攻撃の背後にいるのは誰ですか?すべてが、ロシアのAPTグループであるサンドワームについて再び話しているという事実を示しています。
出典:ESET、CERTUA
コメントを残す