最新の情報セキュリティ担当者らは、仮想通貨マイニングマルウェアに感染した大規模産業用制御システムネットワークの初の事例を発見したと発表した。
SCADAセキュリティ企業Radiflowは本日、水処理施設のコンピュータシステムに悪質なソフトウェアが潜んでいることを発見したと発表した。重要な水供給の監視と制御に使用されている複数の運用サーバーが、密かにモネロのサイバーマネーを収集し、インターネット経由で首謀者に送信するコードに感染していたことが判明したという。
伝えられるところによると、この悪意のあるソフトウェアはプロセッサ時間を消費し、ネットワーク上でデータをノイズのように移動させ、産業用ネットワークでは最新のセキュリティ パッチが実行されない傾向があるという事実 (通常、産業用ネットワークは、不適切な更新によって中断または停止されてはならない重要なプロセスを監視しているため) を悪用する可能性があります。
つまり、重要なシステムの近くで悪意のあるコードが実行されるというのは、特に良いことではありません。幸いなことに、それはMoneroのマイニングだけで、それ以上の悪質な行為ではありませんでした。
「暗号通貨マルウェア攻撃はCPU処理能力とネットワーク帯域幅の消費量が非常に高く、重要なインフラ事業者の物理プロセスの安定性と可用性を脅かす可能性がある」と、ラディフローの最高技術責任者、イェホナタン・クフィル氏は述べた。
「OT(オペレーショナルテクノロジー)ネットワーク内のPCは、最新のWindows、ウイルス対策、その他の重要なアップデートを入手できない機密性の高いHMI(ヒューマンマシンインターフェース)およびSCADA(監視制御およびデータ収集)アプリケーションを実行し、常にマルウェア攻撃に対して脆弱になります。」
ますます多くのウェブサイトが、請求書の支払いやラインポケットのためにブラウザで暗号通貨を採掘しています
続きを読む
水道局の設備で検出されたマルウェアファミリーの名前は公表されていないが、比較的高度なものだと思われ、ノートパソコンのウェブページで実行されるJavaScriptマイナーよりも高度なものだ。インストール済みのウイルス対策ツールをシャットダウンするなどの難読化技術が用いられ、発見される前に収益を最大化するためにステルス性を高めるよう設計されていたという。
このソフトウェアの不正利用は、侵入されたハードウェアから外部へのHTTP接続が異常に急増し、既にマルウェアのコマンドアンドコントロールマシンとして特定されているサーバーにデータを送信しようとしていたコンピュータを研究者が発見したことで発見されたようです。その後、この隠れマイナーは下水処理場のシステムから削除されたとされています。
仮想通貨マイニング感染は、オンライン上の悪党たちが手っ取り早く金儲けをするための手段として急速に定着しつつあります。ランサムウェアでさえ、人々がより適切なバックアップを保管し、ウイルス対策ツールが恐喝ウェアのブロック効果を高めたおかげで、マイニング感染に押されつつあります。
そもそもこのマルウェアがSCADAネットワークに侵入した経緯については何も明らかにされていない。不正な従業員がオープンなハードウェアポート経由で侵入したか、あるいは不注意な管理者がオープンにしていたネットワークサービス経由で侵入した可能性もある。
米国ニュージャージー州に拠点を置くRadiflow社に詳細を問い合わせました。回答が得られ次第お知らせします。®
追加更新
感染原因は現在も調査中ですが、RadiflowのCEOであるイラン・バルダ氏は本日The Registerに対し、このマルウェアはおそらく誰かがサーバー上のブラウザを使ってアクセスすべきでないウェブサイトにアクセスしたことでインストールされたのだろうと述べました。このマルウェアは誤ってダウンロードされ実行され、ネットワークファイル共有を悪用して電力会社のコンピューター間を移動した可能性が高いとのことです。これはAdylkuzzの亜種によく似ています。
顧客との秘密保持契約により、工場名は公表されていない。
「このマルウェアはサーバーの 1 つに侵入し、SMB の脆弱性を利用して他のサーバーに移動したと考えられます」と同氏は説明した。
「このようなシステムの主な問題は、通常、適切なパッチが適用されておらず、セキュリティソフトウェアも実行されていないため、一度侵入されると、ネットワーク上の他のコンピュータに感染させるのが簡単だということです。」
いつものようにCoinhiveのコードから派生したマイニングソフトウェアは、感染したサーバーのCPUを非常に高い速度で稼働させ、おそらく多額の仮想通貨を稼いでいたようです。Coinhiveが稼働している標準的なPCでは通常、1日あたり約25セントの収益しか得られませんが、サーバーはより高性能で、より多くの仮想通貨を生成できます。
幸いなことに、今回のケースでは、マイニングコードは発電所の通常業務に影響を与えていないようです。Radiflowは現在、規制当局と協力して、感染したネットワークをロックダウンし、接続されたシステムに他のマルウェアがないか確認しています。
