今週、ウォール・ストリート・ジャーナル紙のレベッカ・スミスとロブ・バリーは、LookBackマルウェアについて、当初確認されていた3件ではなく、十数件の米国の電力会社が標的であったと報じた。日曜日のウォール・ストリート・ジャーナル紙の記事によると、標的のほとんどは「メイン州からワシントン州までの18州」で運営されている小規模の電力会社であった。
LookBackマルウェア・キャンペーンについて、現在わかっていることは以下の通りだ。
LookBackマルウェアに狙われるユーティリティの数々
LookBackに関する新たな報告によると、このマルウェアは以下のような10以上のユーティリティを標的にしていた:
- ミシガン州のクローバーランド電気協同組合は、米国の製鉄所への鉄鉱石輸送の要衝であるスー・セント・マリー閘門に隣接している。
- ワシントン州のクリキタット公益事業地区は、水力発電をカリフォルニアに送るための連邦政府の主要ダムや送電線の近くにある。
- ノースダコタ州のベイスン・エレクトリック・パワー協同組合は、全米の東西両方の送電網に電力を供給できる数少ない電力会社のひとつである。
どの攻撃も成功していれば、日常生活や経済への影響は甚大なものから深刻なものまであったことは明らかだ。
LookBackマルウェアの仕組み
LookBack はリモートアクセス・トロイの木馬 (RAT) で、感染したホストからコマンド・アンド・コントロール・サーバ (C2) にデータを中継するプロキシ通信ツールに依存しています。このマルウェアは、プロセス、システム、ファイルのデータを閲覧したり、ファイルを削除したり、スクリーンショットを撮ったり、感染したシステムのマウスを動かしたりクリックしたり、マシンを再起動したり、感染したホストから自身を削除したりすることができる。研究者によると、このマルウェアは、2018年に日本企業を標的とした既知のAPT(Advanced Persistent Threat)敵対者によってかつて使用された戦術を展開しており、マルウェアの急速な進化と国家行為者によるその使用の性質を浮き彫りにしている。
フィッシング・メールに添付されたMicrosoft Word文書には、実行すると3つの異なるPrivacy Enhanced Mail(PEM)ファイルをドロップするVBAマクロが含まれている。その後、Certutil.exeがPEMファイルをデコードするためにドロップされ、後にessentuti.exeを使って本来の拡張子に復元される。
このファイルは、C2コンフィギュレーションを含むNotepad++のような一般的なツールで使用されるオープンソースバイナリの名前になりすまします。最後に、マクロはGUP.exeとlibcurl.dllを実行し、LookBackマルウェアを実行します。実行されると、LookBackは、ファイルの検索、ファイルの読み取り、ファイルの削除、ファイルへの書き込み、サービスの開始など、多数のコマンドを送受信できるようになります。
LookBackはスピアフィッシング・キャンペーンから始まったが、ウォール・ストリート・ジャーナル紙(The Journal)は、影響を受けた電力会社の管理者に話を聞いたところ、悪意のある電子メールは付き物であるため、LookBackを心配していない者もいることを明らかにした。クローバーランドのITディレクター、チャック・ゼイン氏は、同社サーバーが受信するメールの60%にマルウェアが仕込まれているとThe Journalに語った。「これらのメールがデスクトップに届く確率は低い。
スピアフィッシングは、ユーティリティ企業のネットワークに最初にアクセスしようとするときに攻撃者が使用する一般的な手口である。これは一般的に、攻撃者がネットワーク内で持続性を持っていないことを示すものでもある。しかし、フィッシングメールがデスクトップに届く確率が低いと考えるのは少し楽観的すぎるかもしれない。
スピアフィッシングの危険性
北米では、公共の電子メールアドレスと、その電子メールを受信する企業のノートパソコンは、CIP(重要インフラ保護)で要求されるベースライニングプロセスを最初に受けることなく、重要なエネルギーネットワークに接続することが禁止されている。
しかし、熟練した攻撃者であれば、企業メールのフィッシング攻撃を利用して、BCSI(Bulk Electric System Cyber System Information)と呼ばれるものが含まれている可能性のあるサーバーや添付データ・ストレージへのネットワーク・レベルのアクセスを獲得するだろう。これは、攻撃者がネットワークのドローイングを見つけるのに役立ち、コア・サービスを中断させたり、リモートアクセスすることもできる。
BCSIは、電力会社が電力網の将来の成長を計画する方法である。アクセスには監査が義務付けられているが、もし攻撃者が信頼できる電力会社の従業員としてデジタル的にクローン化できれば、ネットワークがどのように電力網の運用を保護・維持しているかにアクセスできる可能性がある。
電力会社はスピアフィッシング攻撃から身を守る必要がある
国の電力網がハッカーにとって魅力的な標的であるという政府の懸念に直面する中、LookBackは脅威が現実のものであり、規模の大小にかかわらず電力会社が備えなければならないことを証明している。良いニュースは、ほとんどの電力会社が脅威を真剣に受け止めていることだ。
チャック・ゼイン が指摘するように、この種の試みは常に受けている。多くの公益事業会社は、フィッシング・メールを排除するために最先端の従業員向けメール・フィルタリング・システムを導入しており、セキュリティ体制を確実に強固なものにするためにその他の重要な措置を講じている。また、一般的にセキュリティ予算やITとOT の連携強化は改善の余地があるが、ユーティリティ企業のセキュリティにとって最大の脅威は人間性である。私たちは、「このメールが悪いはずがない」、「私が標的になるはずがない」と信じたいのですが、その考え方はすぐに組織をトラブルに巻き込みます。
LookBackのユニークな点は、攻撃者がどのようにキャンペーンを計画しているかを垣間見ることができたことだ。実際に使用された感染手法は極めて一般的なものである。電気事業者は、巧妙なキャンペーンを核とした、このような性質の攻撃が増えることを期待すべきだろう。
