昨年サウジアラビアの石油化学工場で発生したマルウェア感染は、ロシア政府が支援するモスクワを拠点とする研究組織によるものだった可能性が高い。
セキュリティ企業のファイア・アイは今週、2017年にサウジアラビアの石油・ガス施設の産業用制御システムに対してトリトン攻撃を実行するために使用されたツールの出所が、クレムリンが支援する中央化学機械研究所(CNIIHM)であると自信を持って特定できると発表した。
FireEyeによると、「TEMP.Veles」と呼ばれる作戦は、後にTriton攻撃となる攻撃の前兆だったという。TEMPチームは偵察活動の後、サウジアラビアの組織内のマシンに侵入し、マルウェアをインストールした。マルウェアはネットワーク全体に拡散した。その後、このマルウェアはTritonマルウェアのインストールと実行に利用され、安全制御を停止させることで施設に物理的な損害を与えようとした。
昨年12月から攻撃を調査してきたセキュリティ企業は、TEMP.Velesの攻撃はモスクワのCNIIHM施設で働く1人または複数人によって実行されたと考えている。
FireEyeが提示した証拠の中には、攻撃者がCNIIHMに登録されたIPアドレスを使用していたことや、TEMP.Velesの活動の多くがロシアの標準的な営業時間中に発生していたことを示すログが含まれていた。
誰かがDark Caracalと呼ばれるモバイル、PCスパイウェアプラットフォームを政府に売り込んでいる
続きを読む
さらに、FireEye は、初期の開発およびテスト活動の多くを、当時その施設で働いていた匿名の個人に結び付けることができました。
「TEMP.Velesの活動を調査したところ、同グループが標的の環境に展開した複数の独自ツールを発見した」とFireEyeは述べた。
「ハッシュで識別されるこれらのツールの一部は、マルウェアテスト環境で単一のユーザーによって評価されました。」
さらに、セキュリティ企業によると、CNIIHM は、オペレーションを 1 つの屋根の下で実行するために必要なエンジニアリング、産業インフラストラクチャ、および情報セキュリティの知識を組み合わせた、この地域で唯一の施設の 1 つです。
「TEMP.VelesがTRITON攻撃フレームワークを導入したことはわかっているが、CNIIHMがそのツールを開発した(あるいは開発しなかった)ことを証明する具体的な証拠はない」とFireEyeは述べている。
「CNIIHMが自ら述べている使命やその他の公開情報に基づいて、TRITONの開発と試作に必要な組織的専門知識を保持している可能性が高いと推測します。」
最後に、ファイア・アイは、この攻撃は数年にわたって行われ、非常に多くの異なるシステムに関する知識が必要であったため、組織によってほぼ確実に嗅ぎつけられたであろうと指摘し、「悪質な従業員」や「一匹狼」の部外者による攻撃というシナリオはほぼ確実に排除できると述べている。
しかし、研究所が大きな影響を受ける可能性は低いだろう。これまでのところ、ロシア政府は国家主導のハッキング作戦に積極的に関与しており、国際舞台での反響はほとんどない。®
