この記事は2019年10月1日に更新されました。
米国政府はこのほど、米国内のエネルギーおよびその他の重要インフラ部門を標的としたロシア政府のサイバー攻撃を確認する重要なサイバーセキュリティ・アラートを発表した。
最近、これらの業界におけるサイバー攻撃が著しく増加しているが、これまでは、その行為者が誰なのか、あるいはその動機は何なのかを推測することしかできなかった。今回のケースでは、米国政府がめったに公にしないことだが、脅威の主体やその戦略的意図が明確に確認された。
さらに、US-CERT のアラートでは、攻撃の各段階の説明、侵害の詳細な指標(IOC)、および検出と防止対策の長いリストが提供されている。攻撃の手口の多くは、Dragonfly 2.0 のようなもので、Dragonfly の拡張版プレイブックと呼んでもいいかもしれないほどだ。Nozomi Networks ソリューションには、Dragonfly 2.0 の IOC の存在を特定する分析ツールキットが付属しています。
この記事は、この最近の注意喚起について理解を深め、どのようなセキュリティ対策を講じるべきかについて追加のガイダンスを提供し、Nozomi Networks ソリューションがどのように役立つかを説明することを目的としています。
早期発見の機会を提供する多段階キャンペーン
US-CERTのアラートは、この攻撃を、ロシアのサイバーアクターがスピアフィッシングを実施し、標的の産業用ネットワークへのリモートアクセスを獲得した、多段階のサイバー侵入キャンペーンと特徴づけている。アクセス権を取得した後、脅威ベクトルはネットワーク偵察を行い、横方向に移動し、産業制御システム(ICS)に関連する情報を収集しました。
このような行動パターンはAPT(Advanced Persistent Threat)の典型である。APTは長期間にわたって発生するため、被害が出る前に検知して阻止する機会がある。産業ネットワークを監視する適切な技術があれば、最終的な攻撃を受ける前に気づかれないようにすることははるかに難しくなる。
この場合、ロシアのサイバー攻撃は、最終的な標的を攻撃するための軸となる、信頼できる第三者サプライヤーなどの周辺組織であるステージング・ターゲットに感染させることから始まった。
攻撃者は、ステージングターゲットの初期感染に、産業制御の専門家に関連する情報を含む多数の手口を使用した。その例を以下に挙げる:
- 業界紙ウェブサイトの改ざん
- ICS要員の履歴書を含む電子メールを、感染したマイクロソフト・ワードの添付ファイルとして送信する行為
- うっかり産業システムの情報を含む公開写真の分析
ステージングされたターゲットのスタッフの認証情報は、意図されたターゲットのスタッフにスピアフィッシングEメールを送信するために使用された。彼らは悪意のある.docxファイルを受け取り、コマンド・アンド・コントロール(C2)サーバーと通信して認証情報を盗み出した。
スピアフィッシングでは、 Dragonfly 2.0攻撃で説明したように、SMB(Server Message Block)ネットワークプロトコルが外部サーバーとの通信に使用された。SMBは通常LAN内の通信にのみ使用され、外部への通信には使用されない。SMBは通常LAN内の通信にのみ使用され、アウトバウンドの通信には使用されない。このことが判明した今、アセット・オーナーはアウトバウンドのサービス制限のためにファイアウォールを確実にロックする必要がある。
被害者のネットワークにアクセスするために、標的の認証情報が使用された。そこからマルウェアは、それぞれ特定の目的を持った複数のローカル管理者アカウントを確立しました。その目的は、追加アカウントの作成からクリーンアップ活動まで多岐にわたった。
次に、リモート・サーバーからツールをダウンロードし、マイクロソフト・ウィンドウのショートカット・ファイルやレジストリを操作して、ユーザー認証情報を収集・保存した。さらに、ステージング・ターゲットのインフラを利用し、盗んだ認証情報とリモートアクセス・サービスを使って意図したターゲットに接続した。
その後、ICSの偵察が行われた:
- バッチスクリプトによる産業用制御ネットワークの列挙
- スケジュールされたタスクとスクリーンショットユーティリティを使用して、ネットワーク上のシステムの画面をキャプチャする。
- ホスト情報のリストを保持するためのテキストファイルの使用
- 企業ネットワーク上のコンピュータにアクセスし、ICSベンダー名や参考文書など、制御システムやSCADAシステムに関するデータ出力を取得する。
- ICSシステムのプロファイルと構成情報の収集
脅威者はまた、ログを消去し、マルウェアのアプリケーション、レジストリキー、スクリーンキャプチャを削除するなど、痕跡を隠すための活動も行っていた。
ロシアによるサイバー攻撃の感染と偵察の段階についての詳細については長く述べられているが、US-Certの勧告は、驚くべきことではないが、どのような機器が標的とされ、どのような混乱が意図されたのかについての詳細が欠けている。
この勧告の目的は、あなたのような資産所有者を対象とし、あなたの施設が感染しているかどうかを判断するための幅広い手がかりを提供することである。もしそうであれば、感染を根絶し、当局に報告する必要がある。
ハイブリッド脅威検知でAPTを特定し、監視の労力を大幅に削減
アラート(TA18-074A)で提供されている検知および防止対策のリストは広範囲にわたる。このリストに目を通せば、ログやファイルのチェック、および推奨されるセキュリティの改善をすべて行うには、多くの人手と集中力が必要であることがわかるだろう。
そこでNozomi Networks ソリューションが役立ちます。このソリューションには、Dragonfly 2.0を特定する分析ツールキットが付属しており、キャンペーンの存在を継続的に監視し、感染指標への対応を効率化します。
そのための重要なテクニックがハイブリッド脅威検知である。これは、脅威とリスクを特定するために、シグネチャとビヘイビアベースの異常検知を併用するものである。その結果は相互に関連付けられ、また運用上のコンテキストとも関連付けられるため、何が起きているのかを迅速に把握することができ、ミティゲーションに要する時間を短縮することができる。
高度な持続的脅威一般的な攻撃フェーズ
ヤラ・ルールズ
Yaraルールは、マルウェアのIOCの存在をチェックする高度なスクリプトのライブラリです。マルウェアに対する複数のIOCのチェックを集約し、手作業による脅威検出作業を軽減します。グローバルなセキュリティ研究者のオープン・コミュニティによって開発されたYaraルール・ライブラリは、知識の集合体と同じ速さで革新します。
Nozomi Networks Guardian ヤーラ・ルールは同社のプラットフォームに組み込まれており、本日、ドラゴンフライ2.0用のヤーラ・ルールが出荷された。
アサーション
アサーションは、Nozomi Networks クエリ・ツールのバリエーションであり、デバイス属性、ネットワーク通信、サイバー・リスク、プロセス変数のあらゆる側面に関する情報をリアルタイムで提供する。クエリは、ある条件が今すぐ存在するかどうかをチェックするが、アサーションは、特定の IOC が存在しないことを定期的にチェックするために使用できる。将来のある時点でIOCが見つかった場合、アラートが生成され、SIEMなどの別のセキュリティ・アプリケーションに送信できる。
Nozomi Networks 顧客が効率的にIOCをチェック
「また、サイバーセキュリティ・コミュニティを通じて得たIOC(侵害の指標)も追加しました。そのため、瞬時に問題を特定し、迅速に対処することができる。
バーモント州電気協同組合、オペレーション・エンジニアリング・マネージャー、クリス・スミス氏
スミス氏は、E-ISAC(Electricity Information Sharing and Analysis Center)やその他の情報源から提供されたIOCをチェックするために、Nozomi Networks クエリーとアサーションを使用する方法について説明している。
異常検知
異常検知はGuardianのハイブリッド脅威検知の基礎であり、正常なネットワークとプロセスの動作を学習する能力である。ベースラインは確立され、そこからの変動は疑わしい活動の指標となる。ロシアのサイバー攻撃の場合、異常検知は次のような異常な行動を検知する:
- SMBプロトコルを使用した外部コマンド&コントロールサーバーへの接続など、不適切な/新しいアウトバウンド接続
- ネットワーク経由でトラフィックを送信する新規ユーザー
- 異常な交通パターン
今日からロシアのサイバー攻撃の証拠がないかシステムをチェックするのであれば、US-Certのアラートで確認された広範なログチェックを行う必要がある。しかし、Guardian を導入すれば、異常検知のおかげでその作業の大部分は自動化される。
ロシアのサイバー攻撃 - 次に何をすべきか
このUS-CERTの警告は画期的なものだ。米国のインフラと重要な製造部門がロシアのサイバー攻撃を受けていることを完全に明らかにしている。
もしあなたの組織が標的とされている部門の一つであれば、今こそ、最終的なICS攻撃が起こる前にマルウェアをチェックし、駆除する時である。たとえあなたの事業が別の国や別のセクターにあるとしても、同じことをしたいはずです。
このアラートに関連するリスクレベルと作業負荷に効率的に対処するために、リアルタイムのサイバーセキュリティと運用可視化ソリューションをご検討ください。当社もその1つを提供しており、詳細な現場のフィードバックから、当社のものが導入しやすく、迅速に結果を出せることを知っています。
もっと詳しくお知りになりたい方は、今すぐご連絡ください。
