ウクライナの複数の電力会社は、12月に数万人の顧客の電力供給を一時的に停止させたサイバー攻撃に続き、新たなサイバー攻撃を受けている。
セキュリティベンダーのEsetは水曜日、攻撃には異なる種類のマルウェアが使用されていると述べ、同一グループが関与しているのではないかという疑問が浮上した。
「このマルウェアは、無料で入手できるオープンソースのバックドアをベースにしている。国家の支援を受けているとされるマルウェア運営者からは、このようなものは想像もできない」と、Esetの上級マルウェア研究者ロバート・リポフスキー氏は書いている。
この新たな発見により、誰がウクライナ企業を狙っているのかという謎が深まった。
「今回の発見は、偽旗作戦の可能性も考慮すべきであることを示唆している」とリポフスキー氏は記した。「要するに、今回の発見はウクライナにおける攻撃の起源解明に一歩近づくものではない。むしろ、性急な結論に飛びつくべきではないことを改めて認識させてくれるものだ。」
12月にPrykarpattyaoblenergoとKyivoblenergoという2つのサービスプロバイダーに対して行われた攻撃は、専門家が以前から迫り来ると警告していた重要インフラに対する脅威として、これまでで最もよく記録されている事件である。
キエボブレネルゴは声明で、30の変電所がオフラインになったことで、8万人の顧客が一時的に影響を受けたと述べた。この事故に関する調査では、オペレーターがサービスを復旧するためにすぐに変電所を手動で操作することに切り替えたことが示された。
セキュリティ企業iSight Partnersは、攻撃に使用されたマルウェア「Black Energy」が、ロシアに強い関心を持つ「Sandworm Team」という通称を持つグループに関係していると指摘している。
しかし専門家らは、2014年にクリミアを併合して以来ウクライナと対立しているロシア政府による攻撃とみなすことには警鐘を鳴らしている。攻撃者は活動の起源を隠すためにさまざまな手段を講じることができるため、サイバー攻撃の犯人特定は困難だ。
SANS Industrial Control Systems (ICS) チームは 1 月 1 日にブログ記事を公開し、このマルウェアは攻撃者にシステムへのアクセスを与えた可能性は高いが、それだけではシステム障害を引き起こしたわけではないと述べた。
リポフスキー氏は、最新の攻撃は標的を絞ったスピアフィッシングメールから始まったと述べている。メールには悪意のあるMicrosoft Excelファイルが含まれており、これを実行するとマクロが起動し、トロイの木馬型ダウンローダーが起動する。そして、そのコードは別のリモートサーバーからマルウェアをダウンロードする。
エセット 最近ウクライナの電力会社の従業員に送信されたスピアフィッシング メールのサンプル。
このマルウェアはgcatバックドアの改良版だとリポフスキー氏は書いている。
「バックドアはGmailアカウントを使用する攻撃者によって制御されており、ネットワーク内でそのようなトラフィックを検出することは困難だ」と彼は書いている。
