コンテンツにスキップ

イラスト:セキュリティ管理、画像

カジノサイト

もはやパイプドリームではない: ICS に焦点を当てた 7 番目のマルウェアを発見

ミーガン・ゲイツ著
2022 年 4 月 15 日

今日の安全保障

研究者らは、産業用制御システム (ICS) と監視制御およびデータ収集 (SCADA) をターゲットにするように設計された新しいマルウェアを発見しました。これにより、これを実行する公に知られているマルウェアの総数は最大 7 つになりました。

新しいマルウェアは PIPEDREAM または INCONTROLLER と呼ばれ、ツールを使用して、 への最初のアクセスを確立した後、影響を受けるデバイスをスキャン、侵害、制御します。オペレーショナル テクノロジー (OT) ネットワーク。

あるで今週発表されたシュナイダーエレクトリック社は、米国エネルギー省(DOE)、米国土安全保障省、サイバーセキュリティ企業マンディアントと協力して、INCONTROLLERに対する防御策を特定し、開発したと述べた。シュナイダー氏は、マシンオートメーションデバイスをターゲットにするために構築された「新しい」攻撃ツール(彼らはフレームワークと呼んでいる)を分析するために、2022年初めにマンディアント社と提携したと述べた。

「本書の発行時点では、INCONTROLLER を悪用した確認済みまたは潜在的な標的については把握していませんが、このフレームワークは標的となったデバイスを使用している組織に重大なリスクをもたらします」とシュナイダー氏は述べています。 「このフレームワークには、混乱、妨害行為、および潜在的な物理的破壊に関連する機能があります。」

セキュリティ情報には、標的となる可能性のあるシュナイダー製品と、顧客がデバイスを保護するために「直ちに実装」すべき緩和措置がリストされています。これには、ソフトウェアとファームウェアの更新、デフォルトのアカウントとパスワードの置き換え、ファームウェアの更新などが含まれます。

「許可されたユーザーのみにアクセスを制限する機能やサイバーセキュリティ デバイスには特別な注意を払う必要があります」とシュナイダー氏は言いました。 「これには、侵入検知システム、ネットワーク ファイアウォール、安全なリモート アクセス、デバイス認証、デバイス ファイアウォール、安全でないプロトコルやプログラム可能なプロトコルの無効化/フィルタリングなどの例が含まれます。」

で水曜日に発表されたマンディアントは、INCONTROLLERは「可能性が非常に高く」国家主導であり、「2017年に産業安全システムを無効にしようとしたTRITON、2016年にウクライナで停電を引き起こしたINDUSTROYER、2010年頃にイランの核開発計画を妨害したSTUXNET」に匹敵すると述べた。 

マンディアントは、INCONTROLLER 攻撃の結果として考えられる 3 つのサイバー物理攻撃シナリオを共有しました。これには、施設の操業停止、産業プロセスの妨害、または物理的破壊を引き起こす安全コントローラーの無効化につながるインシデントが含まれます。

「安全保護が失われると、自然に、または攻撃者によるプロセスの操作によって、プロセスが危険な状態に入る可能性があります」とマンディアント氏は説明しました。 「これは、プロセスや施設設計の物理的制約によっては、人間の安全、環境に影響を与えたり、機器に損傷を与えたりする可能性があります。」

INCONTROLLER/PIPEDREAM の発見により、DOE、サイバーセキュリティ・インフラストラクチャ・セキュリティ局 (CISA)、FBI、および国家安全保障局 (NSA) も、このマルウェアはシュナイダー エレクトリックの製品に加えて、、そして(OPC UA) サーバー。

「さらに、攻撃者は、既知の脆弱性を持つ ASRock マザーボード ドライバーを侵害するエクスプロイトを使用して、情報技術 (IT) または OT 環境に存在する可能性のある Windows ベースのエンジニアリング ワークステーションを侵害する可能性があります」と勧告では説明されています。 「ICS/SCADA デバイスへの完全なシステム アクセスを侵害し維持することで、APT 攻撃者は権限を昇格させ、OT 環境内で横方向に移動し、重要なデバイスや機能を妨害する可能性があります。」

この勧告は、重要なインフラストラクチャ組織、特にエネルギー分野の組織に対し、潜在的な悪意のあるAPTアクティビティを検出し、デバイスを強化するために、アラートに記載されている検出と緩和に関する推奨事項を実装するよう求めています。これらの手順には、可能であれば ICS ネットワークおよびデバイスへのすべてのリモート アクセスに対して多要素認証を強制すること、パスワードを変更すること、継続的な監視を活用することが含まれます。

今週の発表のユニークな点は、ICS/SCADA ネットワークをターゲットにするために PIPEDREAM/INCONTROLLER が使用される前に発表されたことである、と Dragos の CEO 兼共同創設者の Robert M. Lee 氏は共有した声明の中で述べました。セキュリティ管理。

「これにより、守備側は攻撃に先立って防御するまたとない機会が得られる」とリー氏は語った。 「悪意のある機能は幅広い機能を備えて洗練されていますが、防御可能なアーキテクチャ、ICS 固有のインシデント対応計画、ICS ネットワーク監視などの基本的な ICS サイバーセキュリティ慣行を適用することで、堅牢な防御が提供されます。」

Dragos は 2022 年初めに PIPEDREAM の分析を開始し、それが「産業環境と物理プロセスの破壊、劣化、潜在的な破壊に焦点を当てた重大な敵対者の研究開発」を示していることを発見した、と同社は a水曜日に公開されました。 

「私たちはその開発者を脅威グループ CHERNOVITE として追跡しており、ICS に対する破壊的または破壊的な作戦に使用する PIPEDREAM マルウェアを開発した国家主体であると高い確信を持って評価しています」と Lee 氏は述べました。 「具体的には、最初のターゲットは液体天然ガスと電気コミュニティのようです。しかし、マルウェアの性質は、さまざまな産業用コントローラーやシステムで動作するということです。」

Lee 氏は、このマルウェアは当初シュナイダー エレクトリックとオムロンのコントローラーをターゲットにしていると付け加えましたが、これらの製品ラインに特有の脆弱性は存在しないことを明らかにしました。

「PIPEDREAM は運用時にネイティブ機能を利用しているため、検出がより困難になっています。」と彼は言いました。 「これには、コントローラーからコントローラーへと拡張し、ModbusTCP や OPC UA などの一般的な ICS ネットワーク プロトコルを活用する機能などの機能が含まれています。」

ICS/SCADA をターゲットにするために特別に設計されたマルウェアはまだまれですが、21 世紀で最も影響力のあるサイバー インシデントのいくつかの背後にマルウェアが存在します。でジャーナリストのキム ゼッターは、イランの核開発計画を妨害する目的でこのようにマルウェアが使用された既知の最初の例について詳しく説明しました。で『WIRED』シニアライターのアンディ・グリーンバーグは、2016年にウクライナのキエフで停電を引き起こしたサンドワームのツール導入など、一連のサイバー攻撃の背後にいるグループを調査した。

「PIPEDREAM アドバイザリは、その機能の幅広さを考えると、ICS マルウェアの不正ギャラリーの中で特に厄介な新しいエントリとして機能します。」.「しかし、その暴露は、明らかに破壊的な効果に利用される前に行われたもので、特にロシアからの重要なインフラシステムに対する潜在的なハッキングの脅威に対するバイデン政権による大規模な取り締まりの最中に行われた。」

地政学的な影響に加えて、より多くのグループがシステムを標的にし始める中、この取り締まりは重要インフラのセキュリティと完全性を確保するために重要になる可能性がある。ドラゴスによる以前の研究では、顕著な増加2021 年の ICS をターゲットとする新しいグループ。

「現在、ドラゴスは世界中で 18 の脅威グループを追跡しており、そのうちの最新のグループのうち 3 つは 2021 年中に発見されています。」と報告書には記載されています。 「新しいアクティビティ グループのうちの 2 つ、KOSTOVITE と ERYTHRITE がデモを行います中断よりもアクセス操作とデータ盗難に重点を置いた侵入。これは、攻撃者が将来の目的のために、ICS/OT 環境をターゲットにし、侵害し、情報を収集するために時間、労力、リソースを費やすことをいとわないことを示しています。」

arrow_upward