主にエネルギー業界を対象として、広範な標的を狙う継続的なサイバースパイ活動の背後にいる攻撃グループが、妨害工作を仕掛ける能力を手に入れたようです。シマンテックが「Dragonfly」と名付けたこのグループは、スパイ目的で複数の重要な組織に戦略的に侵入を果たしていますが、もし彼らが妨害工作を実行に移していたら、各国でエネルギー供給の障害や遮断が引き起こされていた恐れがあります。
標的となっているのは、エネルギー網の運営会社、主要な電力会社、石油パイプライン運営会社、エネルギー業界向け産業機器メーカーなどです。その大半は、米国、スペイン、フランス、イタリア、ドイツ、トルコ、ポーランドに所在する企業です。
攻撃グループは豊富なリソースを背景に、さまざまなマルウェアツールを駆使してさまざまな経路で攻撃を仕掛ける能力を備えています。大掛かりな攻撃活動を実行して、産業用制御システム(ICS)機器メーカー数社のソフトウェアにリモートアクセス型のトロイの木馬を感染させたことにより、ICS が稼働しているコンピュータにソフトウェア更新をダウンロードした企業がマルウェアに感染してしまいました。この感染によって、標的組織のネットワークに侵入する足掛かりができただけでなく、感染した ICS コンピュータに対して妨害工作を仕掛ける手段が与えられたことにもなります。
今回の活動は、ICS を狙った初の大規模なマルウェア攻撃として知られる Stuxnet を模倣しています。Stuxnet はイランの核開発計画に標的を絞り込んで妨害することが主な目的でしたが、Dragonfly は現時点では、スパイ活動と継続的なアクセスを目的として、より多くの標的を狙っているようです。また、必要に応じて妨害工作を実行できる能力も備えているようです。
Dragonfly は、ICS ソフトウェアへの感染だけでなく、スパムメール攻撃や水飲み場型攻撃を実行して、標的組織に侵入しています。主に使われているのは、Backdoor.Oldrea と Trojan.Karagany という 2 つのマルウェアツールです。前者は、攻撃グループが内部で開発したか、または外部に開発させた独自のマルウェアだと思われます。
シマンテックは、これらの情報の公開に先立って、被害を受けた組織や CERT(Computer Emergency Response Center)などのインターネットセキュリティインシデントへの対応を行う各国の関係機関に本件を通知しています。
背景
Dragonfly グループ(他のセキュリティベンダーからは Energetic Bear とも呼ばれています)は、2011 年にはすでに活動が確認されていますが、それ以前から活動していた可能性もあります。Dragonfly は当初、米国とカナダの航空防衛企業を標的としていましたが、2013 年の初めに欧米のエネルギー企業に狙いを変えています。
欧米のエネルギー企業に対する攻撃範囲は急速に拡大しました。最初は、標的企業の従業員に対して、マルウェアが添付されたフィッシングメールを送信することから始め、次第に水飲み場型攻撃を手口に追加し、エネルギー業界のユーザーがアクセスしそうな Web サイトを侵害して別の Web サイトにリダイレクトするよう仕向けたのです。そこでホストされている悪用ツールキットが、被害者のコンピュータにマルウェアをダウンロードします。攻撃の第 3 段階として、ICS 機器メーカー 3 社の正規ソフトウェアにトロイの木馬を仕込みました。
Dragonfly には、国家が支援している活動に見られる特徴があり、高度な技術力が認められます。このグループは複数の経路で攻撃を仕掛けたり、多数のサードパーティの Web サイトを侵害したりできる能力を備え、長期間にわたってエネルギー業界のさまざまな企業を標的としてきました。主な動機は今のところサイバースパイ活動のようですが、妨害工作を実行できる能力を持ち合わせているのは間違いありません。
攻撃者が使用したマルウェアのコンパイル日時を分析したところ、UTC(協定世界時)より 4 時間進んでいる時間帯で、ほとんどの活動が平日の午前 9 時から午後 6 時までの 9 時間に集中していることがわかりました。このことから、攻撃者の拠点は東欧にある可能性が高いと考えられます。
図. 攻撃によってコンピュータから情報が盗み取られた被害の多い上位 10 カ国
利用されているツール
Dragonfly の攻撃では、2 つのマルウェアが利用されています。両方ともリモートアクセスツール(RAT)型のマルウェアで、これにより攻撃者は侵入先のコンピュータにアクセスして制御することができます。より好んで利用されているのは Backdoor.Oldrea で、別名 Havex または Energetic Bear とも呼ばれている RAT です。Oldrea は侵入先のコンピュータでバックドアとして働き、攻撃者がデータを抽出して追加のマルウェアをインストールできるようにします。
Oldrea は、攻撃グループが内部で開発したか、または外部に開発させた独自のマルウェアだと思われます。この事実は Dragonfly の能力やリソースを判断する手掛かりとなります。
Oldrea は、侵入先のコンピュータにインストールされると、システム情報と共に、ファイル、インストールされているプログラム、使用可能なドライブのルートの一覧を収集します。また、Outlook アドレス帳や VPN 設定ファイルからデータを抽出します。これらのデータは、暗号化された一時ファイルに書き込まれた後、攻撃者が制御するリモートのコマンド & コントロール(C&C)サーバーに送信されます。
C&C サーバーの多くは、コンテンツ管理システムが実行されている侵害されたサーバーでホストされているようです。つまり、攻撃者は同じ悪用コードを使って各サーバーの制御権を奪取したと考えられます。Oldrea には基本的なコントロールパネルがあり、認証されたユーザーは、被害者から盗み取ったデータの圧縮バージョンをダウンロードすることができます。
Dragonfly が利用している 2 つ目のツールは、Trojan.Karagany です。Oldrea とは異なり、このツールはアンダーグラウンド市場で入手可能なものです。Karagany バージョン 1 のソースコードが 2010 年に漏洩しているので、これを入手して自身の目的のために改変したものと考えられます。シマンテックは、この改変バージョンを Trojan.Karagany!gen1 として検出します。
Karagany は、侵入先のコンピュータ上で、盗み取ったデータをアップロードしたり、新しいファイルをダウンロードしたり、実行可能ファイルを実行したりすることができます。また、パスワードの収集やスクリーンショットの取得、文書のカタログ化を行うツールなど、追加のプラグインを実行することもできます。
侵害されたコンピュータのほとんどは Oldrea に感染しており、Karagany が使われたのは全体のわずか 5% 程度です。2 つのマルウェアは機能が類似しており、攻撃者が何を基準にツールを選んでいるのかはわかりません。
複数の攻撃経路
Dragonfly は、エネルギー業界の標的企業に対して少なくとも 3 つの感染戦略を用いています。当初の方法は電子メール攻撃で、標的企業から選んだ役員や上級職に宛てて悪質な PDF ファイルが添付された電子メールが届きます。件名は、「口座(The account)」または「配送問題の解決(Settlement of delivery problem)」のいずれかです。電子メールの送信元はすべて同一の Gmail アドレスです。
スパム活動は 2013 年 2 月から 6 月まで続き、7 つの組織が標的となったことが確認されています。各組織に送信された電子メールは 1 通から 84 通とさまざまです。
攻撃者はその後、水飲み場型攻撃にシフトしました。エネルギー業界関連の多数の Web サイトに侵入して iframe を挿入し、アクセスしたユーザーをさらに別の侵害された正規の Web サイトにリダイレクトしたのです。その Web サイトに Lightsout 悪用ツールキットがホストされており、Java や Internet Explorer の脆弱性を悪用して、被害者のコンピュータに Oldrea または Karagany を投下します。攻撃活動の各段階で複数の正規の Web サイトを侵害していることから、攻撃グループの持つ高度な技術力がさらに裏付けられています。
2013 年 9 月、Dragonfly はこの悪用ツールキットの新しいバージョン(Hello 悪用ツールキットとして知られます)を利用し始めました。Hello 悪用ツールキットのランディングページに組み込まれた JavaScript は、システムの特徴を取得して、インストールされているブラウザのプラグインを特定します。次に被害者は別の URL にリダイレクトされ、収集された情報に基づいて最適な悪用コードが決まります。
トロイの木馬が仕込まれたソフトウェア
Dragonfly によって利用された最も大掛かりな攻撃経路は、多数の正規ソフトウェアを侵害するものです。ICS 機器メーカー 3 社が標的となり、各社の Web サイトでダウンロード用に公開しているソフトウェアにマルウェアが挿入されたのです。これら 3 社はすべて、エネルギー業界など、さまざまな産業で使用される機器を製造しています。
トロイの木馬が仕込まれていることが最初に確認されたのは、プログラマブルロジックコントローラ(PLC)デバイスに VPN アクセスを提供するためのソフトウェア製品です。この攻撃が仕掛けられたすぐ後にメーカーは攻撃に気が付いたものの、侵害されたソフトウェアはすでに 250 回もダウンロードされていました。
2 番目に侵害を受けたのは、欧州の専門的な PLC デバイスメーカーです。同社のデバイス用ドライバを含むソフトウェアパッケージが侵害されたのです。2013 年の 6 月から 7 月に掛けて 6 週間以上にわたり、トロイの木馬が仕込まれたソフトウェアがダウンロード可能になっていたと推測されます。
3 番目に攻撃を受けたのは、風力タービン、バイオガスプラント、その他のエネルギーインフラを管理するためのシステムを開発する欧州の企業です。2014 年 4 月に約 10 日間にわたり、侵害されたソフトウェアがダウンロード可能になっていたと考えられます。
Dragonfly は高い技術力を備え、戦略的に行動しています。攻撃グループは、標的となった一部の企業の規模を踏まえて、標的企業と取り引きのある小規模で保護対策が手薄なサプライヤーを狙うことで、弱点を見つけたと考えられます。
保護対策
シマンテック製品の最新バージョンをお使いのお客様は、以下の検出定義によって、前述の攻撃で利用されているマルウェアから保護されています。
ウイルス対策検出定義
侵入防止シグネチャ
Dragonfly による攻撃の技術的な詳細については、ホワイトペーパー(英語)を参照してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。