シマンテックは、同社が「ドラゴンフライ」と呼ぶハッカー集団によるエネルギー業界の企業に対するサイバー攻撃が再び増加していると警告している。
Dragonflyは、2014年にシマンテックなどの研究者によって摘発されて以来、1年以上目立たない存在だったが、2015年12月以降、過去2年間にわたり一連の攻撃を仕掛けてきた。セキュリティ研究者らは、このグループが、エネルギー施設の運用システムを制御、あるいは破壊しようとする高度な攻撃を仕掛けるなど、欧州と米国のエネルギー企業に対する最近の攻撃を行ったと非難している。
シマンテックによると、2015年後半に始まったと思われるこの「Dragonfly 2.0」キャンペーンは、2011年に初めて活動を開始した同グループが使用した戦術とツールを共有している。同グループに関連する活動は今年、活発化している。
エネルギー部門は、過去2年間、国家支援型ハッカーによる攻撃の標的となってきました。ウクライナでは、サイバー攻撃が電力供給の混乱を引き起こし、数十万人が停電に見舞われました。また、ここ数ヶ月では、西側諸国の電力網への攻撃未遂事件も報告されています。これらの攻撃は主にフィッシング攻撃を通じ、直接的な混乱ではなく、偵察活動や標的ネットワークへの足掛かりを得ることを目的としていました。既報の通り、標的には英国、アイルランド、米国のエネルギー企業が含まれていました。
シマンテックは報告書の中でロシアを名指ししていない。しかし、米国国土安全保障省は昨年の報告書(pdf)で、Dragonflyはクレムリンの工作員であると主張している。シマンテックは、このグループを「非常に有能」と表現し、攻撃に関連するマルウェアのコード文字列にフランス語とロシア語の両方が含まれているなど、犯行の根拠となる矛盾した証拠を指摘するにとどまっている。
シマンテックの取り組みの価値は、これまで知られていなかったキャンペーンを警告するのではなく、より詳細な情報を提供することにあります。
「Dragonflyグループは、エネルギー施設の運用方法を知ることと、運用システム自体へのアクセスの両方に関心を持っているようだ。そのため、同グループは、そうしようと思えば、これらのシステムを破壊したり制御したりする能力を潜在的に持っている」とシマンテックは警告している。
攻撃の最初のベクトルは、大晦日のパーティーへの招待状からエネルギー業界や一般的なビジネス上の懸念事項に関する具体的な内容まで、あらゆる内容を装ったスピアフィッシングメールです。メールを開封すると、添付された悪意のある文書が被害者のネットワーク認証情報を標的組織外のサーバーに漏洩させようとします。
シスコは最近、エネルギー業界を標的としたメールベースの攻撃で「Phishery」と呼ばれるツールキットが利用されているというブログ記事を発表しました。シマンテックが発見した不正なメールも、テンプレートインジェクション攻撃によって被害者の認証情報を窃取するためにこの「Phishery」ツールキットを使用していました。このツールキットは2016年後半にGitHubで一般公開されました。
「攻撃者は悪質なメールを送信するだけでなく、エネルギー業界関係者が訪問する可能性のあるウェブサイトを侵害して、水飲み場型攻撃でネットワーク認証情報を収集していた」とシマンテックは報告している。
盗まれた認証情報は、標的組織に対する追加攻撃に利用されました。ある事例では、被害者が侵害されたサーバーの1つにアクセスしてから11日後に、PowerShell経由でGoodorバックドアがユーザーのマシンにインストールされました。
シマンテックは、Flashアップデートを装ったファイルを使って、ソーシャルエンジニアリング攻撃でユーザーを騙し、標的のネットワークに悪質なバックドアをインストールする可能性があることを示唆する証拠も入手しています。こうした攻撃は、コンテンツを閲覧するにはFlashアップデートが必要だと偽装します。
Dragonflyグループの最近の活動の概要 [出典: Symantecのブログ投稿]
最近の一連の攻撃は、Dragonflyによる以前の攻撃キャンペーンと様々な要因から関連しています。特に、Dragonfly 2.0で使用されたトロイの木馬HeriplorとKaraganyは、2011年から2014年にかけてのDragonflyによる以前の攻撃キャンペーンでも使用されていました。Symantecの報告によると、HeriplorはDragonflyのみが使用していると思われるバックドアです。Karaganyはアンダーグラウンドマーケットで流出したため、Dragonflyによる最近の使用は必ずしも唯一のものではありません。
シマンテックは、エネルギー業界を標的とした最近の攻撃は、以前の攻撃に関連するものを超えていると警告している。
セキュリティベンダーのワン・アイデンティティーのEMEAディレクター、アンドリュー・クラーク氏は次のように述べた。「米国の調査によると、公益事業会社ではサイバー攻撃が日常的に発生しており、施設によっては毎月1万件以上のサイバー攻撃の試みを受けている。これは4分ごとに1件の攻撃に相当する。」
インフラ部門の企業を潜在的な攻撃からより効果的に防御するには、ファイアウォールによるネットワークのセグメント化、アクセス制御の改善、パッチ適用が必要であると彼は付け加えた。®
