コンテンツにスキップ

画像提供: iStock

カジノサイト

産業用制御システムのサイバー侵入における最新のプレーヤーを紹介

ミーガン・ゲイツ著
2022 年 2 月 23 日

オンライン限定

水曜日に発表された年次サイバーセキュリティ報告書によると、2021 年には産業用制御システム (ICS) を標的とする新たなグループが顕著に増加し、攻撃が世界中で注目を集めています。

5番目ICS およびオペレーショナル テクノロジー (OT) のサイバー脅威に関するレポートで、同社はメディアの注目を集めた重大な事件を調査しました。そしてJBS ランサムウェア攻撃。ドラゴスが 2021 年に追跡したランサムウェア インシデントの 65% は製造部門と 2 つのランサムウェア グループに焦点を当てていました (そして) は攻撃の 51% を引き起こしました。

「現在、ドラゴスは世界中で 18 の脅威グループを追跡しており、そのうちの最新のグループのうち 3 つは 2021 年中に発見されています。」と報告書には記載されています。 「新しいアクティビティ グループのうちの 2 つ、KOSTOVITE と ERYTHRITE がデモを行います中断よりもアクセス操作とデータ盗難に重点を置いた侵入。これは、攻撃者が将来の目的のために、ICS/OT 環境をターゲットにし、侵害し、情報を収集するために時間、労力、リソースを費やすことをいとわないことを示しています。」

新しいアクティビティ グループ

ドラゴスの 1 年を振り返る報告書によると、著者らは、同社が ICS/OT システムをターゲットとする 3 つの新しい活動グループを発見したと書いています。報告書によると、これらのグループのうち 2 つは、ICS サイバー キル チェーンのステージ 2 を達成しており、「ICS/OT ネットワークに直接アクセスできる能力」を示しています。

この 3 つの新しいグループは、ドラゴスが長年にわたって追跡してきたものの平均に従っていると、ドラゴスの CEO 兼創設者であるロバート M. リー氏が報告書の調査結果に関する記者団との会見で述べた。

コストビテ。このグループは 2021 年から活動しており、ステージ 2 の活動を達成したグループの 1 つです。 Dragos のインシデント対応チームは、大手再生可能エネルギー運用保守 (O&M) 会社への侵入後にこのグループを発見しました。彼らの調査により、KOSTOVITE の攻撃者が O&M 会社の OT ネットワークとデバイスにアクセスできたことが判明しました。

「2021 年 3 月、KOSTOVITE がこの再生可能エネルギー O&M ネットワークの境界を侵害した際、人気のあるリモート アクセス ソリューション Ivanti Connect Secure (以前は Pulse Secure として知られていました) のゼロデイ脆弱性を悪用しました。」

KOSTOVITE の攻撃者はその後、「このターゲットに対して専用の運用中継インフラストラクチャを使用して活動の発信元を難読化し、正規のアカウント資格情報を盗んでこの侵入に使用した」と報告書は説明しています。 「その後、KOSTOVITE は盗んだアカウント情報を使用して水平方向に移動し、単一の入口位置から北米とオーストラリアにある複数のエネルギー生成施設の OT 環境にアクセスしました。境界入口を通過すると、KOSTOVITE はターゲットの有機的インフラストラクチャと呼ばれるもののみを使用して、ターゲット インフラストラクチャ全体を水平方向に移動するために、ターゲットのネットワークの外部からのツールやコードを使用しませんでした。」

OT ネットワークに接続されているインテグレーター、サプライヤー、保守会社の侵入がどのような影響を与えるかについて ICS コミュニティでの理解が不足しているため、このインシデントは組織間の相互接続のリスクを浮き彫りにしていると報告書は付け加えています。

調査ではコストビテ攻撃者の意図は特定されなかったが、侵入後に行われた分析に基づくと、攻撃者が将来の混乱に備えて長期的なアクセスを獲得しようとしていることがすべて示されるとリー氏は説明しました。たとえば、攻撃者はネットワークを制御および監視できるシステムにアクセスしました。

「それは、その生成機能をオフにするために必要なアクセスでした」とリー氏は言いました。

ペトロビテ。このグループは、カザフスタンの鉱山およびエネルギー事業を対象としたステージ 1 ICS サイバー キル チェーン活動に従事しています。ドラゴスはこのグループを既知の破壊的な出来事と結び付けていないが、PETROVITEがICS/OTシステムとネットワークに関する情報収集に興味を持っていることを確認した。

リー氏は会見で、ドラゴス氏が観察した活動から、PETROVITE社が生産プロセスやサーバー自体についてさらに学ぶために知的財産を収集しているようであることが示されたと説明した。 PETROVITE は検索エンジン最適化ポイズニングも実行し、ターゲットを悪意のある Web サイトに誘導する情報を検索結果に入力します。

「2019 年の侵入はカザフスタンで侵害された正規のインフラストラクチャを使用しましたが、2021 年の侵入は世界の他の地域での正規のインフラストラクチャの侵害に焦点を当てていました。」

エリスリト。このグループは少なくとも 2020 年 5 月から活動しており、米国とカナダの組織を中心としたステージ 2 ICS サイバー キル チェーン活動に参加しているのが観察されています。これらには、フォーチュン 500 企業、大手電力会社の IT ネットワーク、自動車メーカー、食品および飲料会社、IT サービス プロバイダー、石油および天然ガス サービス会社が含まれます。

PETROVITE と同様、ERYTHRITE も検索エンジン ポイズニングを使用して、最終的には正当な資格情報を盗み、ターゲットにアクセスします。

「ERYTHRITE の最新の検索エンジン最適化 (SEO) ポイズニング キャンペーンでは、特別に作成された PDF ドキュメントを正当な Web サイトにアップロードすることから始まる 2 つのアプローチが使用され、その Web サイトがマルウェア配信サイトにリンクされました。」と報告書には記載されています。 「ERYTHRITE は、人気の WordPress プラグイン Formidable Forms を利用して、数千のキーワードが読み込まれた数百の悪意のある PDF をアップロードしました。これらのキーワードは、検索エンジンのクロール用に最適化されていたため、本来は正当であるにもかかわらず破壊された Web サイト上でホストされている SEO 汚染された PDF が検索の上位に表示されました。Dragos が 1 つの破壊された Web サイトの所有者に連絡を取ったところ、所有者は、攻撃者が保護されていない Formidable Forms ベースの問い合わせフォームを悪用し、任意のファイルをアクセス可能にしたことを確認しました」 Dragos は、ERYTHRITE が他の複数の Web サイトの保護されていない Formidable Forms の連絡先ページを悪用したと中程度の自信を持って評価しています。」

緩和策

Dragos は、活動の増加に加えて、2021 年に一般的な脆弱性とエクスポージャ (CVE) のリリースの増加も追跡しました。しかし、残念ながら、これらの勧告のほぼすべて (92%) には緩和策がありませんでした。リリースされた ICS 脆弱性アドバイザリーの 38% には、優先順位を付けることが困難になるようなエラーが含まれていました。 49% は、OT システムの視野と制御の両方の喪失を引き起こす可能性があります。 65% にはパッチ以外の代替緩和策が含まれていません。

「脆弱性に関するガイダンスには、事業者がリスクに基づいた意思決定を行うための文脈や詳細が欠けている傾向が続いている」と報告書は述べている。 「ドラゴスは、2021 年に十分な緩和アドバイスがなかった勧告の 61% に対して、追加の緩和戦略を追加する必要がありました。」

コロニアル パイプライン ランサムウェア攻撃を受けて、米国運輸保安局 (TSA) はリリース30 日以内に機器にパッチを適用する必要がある米国のパイプライン向け。しかし、リー氏は、これは良いアドバイスではないと述べた。

「もしそんなことをしたら、パイプライン インフラストラクチャの回復力が低下し、脆弱性を放置するよりもさらに多くの停止を引き起こす可能性があります。」と彼は言いました。

Lee 氏は、ICS/OT 環境の既知の脆弱性に対するパッチを大規模に推進することはリスクと乖離していると付け加えました。その代わりに、脆弱性がシステム全体に及ぼすリスクと、そのリスクが許容できるかどうかを考えることがより重要であると彼は説明しました。

「その脆弱性を利用して産業界に影響を与えることはできますか?」リーさんは言いました。 「過去 1 年間で、脆弱性の 49 パーセントがこのカテゴリに分類されました。」

リーはまた、次のような行為についても述べました米国政府が開始したこと石油、ガス、水道事業部門は、脅威を検出して対応する能力を整備することに重点を置いているため、より大きな利益を得ています。

さらに、Dragos は、サイバー脅威に対する OT/ICS ネットワークを強化するための 5 つのセキュリティ管理に関する推奨事項を報告書に含めました。

  1. 防御可能なアーキテクチャ

  2. ICS ネットワーク監視

  3. リモート アクセス認証

  4. 主要な脆弱性管理

  5. ICS インシデント対応計画

「世界のインフラストラクチャのほとんどはまったく監視されていません」と Lee 氏は述べ、Dragos の顧客の 80% 以上が以前は OT 環境の可視性が制限されていた、またはまったく可視化されていなかったと付け加えました。 「敵が侵入すると…敵を発見することは非常に困難であり、攻撃を軽減することも非常に困難です。」

詳細について、またはドラゴスのレポート全文を読むには、こちらのウェブサイトをご覧ください:2020 年のレポートとの比較については、以前のレポートをご覧ください重要インフラ問題の分析セキュリティ技術。 

ミーガン・ゲイツはの上級編集者ですセキュリティ管理。彼女と連絡するには[email protected]。 Twitter で彼女をフォローしてください:

arrow_upward