カジノサイト
点と点を結ぶ: 2024 年の国家主体、ハクティビスト、重要インフラ攻撃
サイバーセキュリティ会社ドラゴスが本日発表した新しい報告書によると、研究者らは2024年に重要インフラを標的とする国家と非国家主体の間に明確なつながりがあることを観察した。
同社は、2022 年以降、ウクライナで重複する 3 つの国家主体グループと 6 つのハクティビスト グループが収束し、共有インフラストラクチャとインテリジェンスを使用して運用技術 (OT) および産業制御システム (ICS) のターゲットを攻撃していることを確認したことを確認しました。
「攻撃者は、ハクティビストのペルソナを利用して高度度の低い攻撃を実行しながら、スパイ活動に焦点を当てたキャンペーンと、より広範な目的に基づく破壊的作戦の間を移行する可能性があるため、ICS 防御者にとって戦略的意味は重要である」とドラゴス氏は述べた。。 「ハクティビストのペルソナの役割は、主な攻撃から意図的に気をそらすためであれ、他の目的であれ、引き続き分析と議論の対象となっています。」
報告書の発表前の記者団との会見で、ドラゴスのCEO兼共同創設者ロバート・M・リー氏は、こうした関連性は「何年も噂されてきたが、関連性を確認できることは非常に重要だ」と述べた。
これは、国家主体が「攻撃にもう少し集中する傾向がある」ためだとリー氏は説明する。国家攻撃者はマルウェアを作成し、特定のサイトを攻撃し、攻撃頻度は低くても大きな結果をもたらすことを目指します。 「しかし、非国家俳優たちはそうではありません」とリーは続ける。彼らは「可能な限り誰でも殴っている」
たとえば、リーはハクティビストグループについて言及していますドラゴスがエレクトラムとカマサイトと呼んでいる州グループと強いつながりがあり、電力網の停電に責任がある2015 年のウクライナそして 2016 年。ドラゴスはまた、ELECTRUM と KillNet および Solntsepek と呼ばれるハクティビスト グループとのつながりを観察しており、一方 KAMACITE は XakNet とつながりを持っています。
国家主体が非国家主体を武器化し、重要インフラへの攻撃を奨励するには正当な理由がある。一部の国家関係者は、民間インフラを標的にすると逆効果になる可能性があると考えているかもしれないので、非国家団体を利用すれば、最終目標を達成しながら責任を逃れることができるだろう。
「一部の国家関係者にとって、国民を怖がらせることは重要なことだ」とリー氏は言う。 「選挙の年にそれを行えば、選挙を揺るがす可能性があります。」
国家主体と非国家主体の間のつながりが増えると、グループ間の知識の共有が懸念されるとリー氏は付け加えた。これが実現すると、低頻度で重大な結果をもたらす攻撃が、高頻度で重大な結果をもたらす攻撃になり、防止、検出、対応するには、ドラゴスが現在 OT セキュリティ分野で見ているものよりも多くの投資が必要になるだろうとリー氏は述べています。
地政学的つながり
ドラゴス氏は、2024年に地政学的紛争に関連するインフラを標的とした継続的なサイバー活動を観察した。報告書によると、ハクティビストを含む一部の脅威グループは、目的を推進するためにより「公然のサイバー作戦」を利用しようとしているが、成熟したグループは「破壊的な影響を引き起こそうとした」という。
ヨーロッパ。現在4年目に入っているウクライナとロシアの紛争を見て、ドラゴスはKAMACITEとELECTRUMとして知られるグループの活動に警告を発した。ウクライナの重要インフラを標的にすることで、ロシアの軍事目標を支援するために協力している。
「KAMACITE は被害者の IT ネットワークへの足がかりを確立し、次のような OT 操作の制御を ELECTRUM に渡します。キエフ党の電力を一時的に遮断した」と報告書は説明している。「2024年、KAMACITEはを使用した」熱、水、電気を供給するウクライナの重要インフラ事業体を標的とする。一方、ELECTRUM はハクティビスト グループと協力して、サイバー攻撃を隠蔽しました。ウクライナの電気通信会社。」
今月初め、Microsoft の脅威インテリジェンス チーム同様の活動を観察し、ドラゴスの当初の評価をさらに検証。
「2024 年初頭以来、サブグループ [KAMACITE] は ConnectWise ScreenConnect の脆弱性を悪用することで、米国と英国のターゲットを含むようにアクセス範囲を拡大しましたIT リモート管理および監視ソフトウェアとフォーティネット FortiClient EMS セキュリティ ソフトウェアマイクロソフトが書いた。 「これらの新しいアクセス作戦は、主にウクライナ、ヨーロッパ、中央アジア、南アジア、中東の特定の業種に影響を与えた、2021年から2023年までの以前の取り組みに基づいて構築されました。」
KAMACITE で観察されたこの活動に基づいて、Dragos は組織がフィッシング攻撃の特定に関する従業員教育を強化し、エンタープライズ IT および OT/ICS ネットワークを適切にセグメント化し、ICS 環境の可視性を維持することを推奨します。
「防御側は、コントロール センター間の接続の切断や、ブレーカーのステータスを切り替えるための変電所への異常なポーリングなど、不審なアクティビティを監視する必要があります。」
ELECTRUM はワイパー マルウェア (被害者のシステムを消去する) を好んで使用するため、Dragos は資産所有者が基本的なセキュリティ対策を講じて ICS 環境でのアクティビティを防止または監視し、エンジニアリング ファイルのバックアップを作成することを推奨しています。
「エンドユーザーは、新しいサービスのインストールを禁止し、サービスの変更を無効にし、可能であれば許可されたアプリケーションのみがデバイス上で実行できるようにアプリケーションのホワイトリストを実装する必要があります。」とレポートは説明しています。
ドラゴス氏はまた、ウクライナとロシアの紛争に関連して2024年に登場したICSマルウェアの2つの新たな亜種についても言及した。 2024 年に到着する最初の新しい ICS マルウェア亜種は FrostyGoop です。これは機器の測定値を変更するために使用され、冬の間にウクライナの 600 以上の集合住宅で暖房停止を引き起こしました。
「それは民間人や民衆にとって非常に恐ろしいことであり、正直言って本当に残酷な行為でした」とリーはこの事件について語る。
ウクライナ治安局の一部であるサイバーセキュリティ状況センターは、2024年1月の事件の詳細をドラゴスと共有した。研究者の分析で判明した懸念すべき点の 1 つは、一般的なウイルス対策ソフトウェアが FrostyGoop を検出できないことです。これは、悪意のあるアクティビティと通常の操作が混在しているためです。
「ICS マルウェア開発において、よく知られた ICS プロトコルの悪用がより頻繁になっており、より洗練された OT 対応の検出および対応方法の必要性が強調されています。」と報告書は述べています。
2 番目の新しいマルウェアは、ハクティビスト グループ BlackJack によって使用されました。BlackJack は、Fuxnet マルウェアを使用してモスクワのガス、水道、下水ネットワークを維持する組織 Moskollektor に侵入すると主張しました。マルウェアがモスクワのインフラにどのような影響を及ぼしたのかについてのメディア報道や可視化は限られているが、より重要な側面は、このグループが影響を引き起こすために共通の産業制御を利用するマルウェアを作成したことである、とリー氏は言う。
「モスコレクターへの攻撃は、地政学的紛争に動かされたグループによる産業機器への攻撃が常態化していることを浮き彫りにしている」と報告書は説明している。 「Fuxnet は Moskollektor に合わせて高度に調整されており、コードベースを大幅に変更しない限り、他の産業環境に対して使用される可能性は低いです。」
アジア。アジアでは、ドラゴスは脅威グループ VOLTZITE ( の OT を中心とした部隊) を観察しました。ボルト タイフーン)およびその関連会社は、以前に侵害された組織のインフラストラクチャをボットネットの中継ポイントとして使用しています。
「これらの行為は、インターネットに公開された重要なインフラストラクチャを列挙する攻撃者制御のピアツーピア中継ネットワークを促進し、電力、石油とガス、上下水道、政府機関などの部門に影響を与える」と報告書は述べています。
リー氏は、VOLTZITEの活動が憂慮すべきなのは、それが国家主体であるというだけでなく、大規模な停止後にオペレーターが立ち上がる必要がある小規模なサイトなど、「本当に戦略的なインフラストラクチャサイト」を攻撃しているためだと付け加えた。
「電気システムを再起動する必要がある場合、最初に最大規模のシステムに行く必要はありません」と Lee 氏は説明します。 「VOLTZITE は、最も重要なものが何であるかを調査して理解し、最も小規模で最も戦略的なサイトのいくつかを追求しました。」
この標的には、混乱に役立つ地理情報システム (GIS) データベースやマシン インターフェースのスクリーンショットの窃取が含まれていました。 VOLTZITE は、ボットネットを作成し、OT ネットワーク上のエッジ デバイスを見つけるための追加のインフラストラクチャにもアクセスできるようになりました。
OT ネットワークをターゲットにすることに関しては、リー氏は「OT ネットワークはエアギャップがある、または実際よりも細分化されており、そこに到達するには IT ネットワークを経由する必要があるという大きな誤解がまだある。」
しかし、OT ネットワークには、相手先ブランド製造業者 (OEM) や請負業者が接続できるデバイスや VPN が存在するため、これは真実ではありません。
「これらの環境は高度に接続されており、企業の IT ネットワークを経由することなく直接アクセスできます」と Lee 氏は強調します。
ドラゴス氏は、VOLTZITE が 2025 年も引き続き米国および西側諸国の重要インフラを標的にするだろうと予想しています。
「VOLTZITE を特定する最善の方法は、その動作を監視することです。VOLTZITE は意図的に信頼できるネットワークに溶け込み、すぐに利用できるツールを使用します。」と報告書は説明しています。 「異常な横方向の動きをネットワーク内の予想されるトラフィックと比較し、通常の従業員のアカウントから発生した不審なユーザー アクティビティを検証します。」
注目すべき新しいグループ
通常、Dragos は 23 の脅威グループを監視し、2024 年にはそのうち 9 つの脅威グループの活動を観察しました。同社はまた、ICS/OT シーンで 2 つの新たな脅威アクター、GRAPHITE と BAUXITE を特定しました。
GRAPHITE は、ウクライナにおけるロシアの軍事作戦と連携して、西アジアと東ヨーロッパのエネルギー、石油・ガス、物流、政府部門をターゲットにすることに重点を置いています。
「GRAPHITE は、東ヨーロッパの地政学的展開に応じて標的プロファイルが変化する可能性があるため、OT/ICS 組織にとって関連する脅威であるが、ステージ 2 の能力はまだ実証されていない」と報告書は述べています。「ドラゴスは、業界団体の擁護者、特にウクライナに何らかの形で関与している者たちに、この敵についてよく知るよう奨励している。」
一方、BAUXITE は、オーストラリア、ヨーロッパ、西アジア、米国における石油とガス、水と廃水、化学製造に注目しています。ドラゴスは、このグループが親イラングループ CyberAv3ngers と技術的に連携していると報告した。
「[イスラム革命防衛隊サイバー電子司令部]との関係を考慮すると、BAUXITEはその能力を強化し、世界中のOT/ICS組織、特にイスラエル・ハマス紛争の当事国に対する破壊的活動を継続する可能性が高い」と報告書は述べている。
急増するランサムウェア
一部の組織はランサムウェアが減少していると述べていますが、ドラゴス氏は、この戦術が特に業界組織にとって依然として横行している問題であると観察しました。これらのターゲットに対するランサムウェア攻撃は実際に 2024 年に 87% 増加し、ドラゴスは 2024 年に OT/ICS に影響を与えるランサムウェア グループの数を 60% 増加させたと追跡しました。これらのランサムウェア攻撃のほとんどは北米 (984 件) の組織に影響を及ぼし、次にヨーロッパ (419 件) が続きました。
同社は、2024 年に業界組織がランサムウェアの影響を受けた 1,693 件の事例を記録し、そのうち 1,171 件 (50% 以上) の攻撃が製造業を標的にしていました。これらの攻撃の 25% はメーカーの完全な停止を引き起こし、75% はある程度業務を中断しました。
「ランサムウェア グループは、たとえ短期間の混乱でも財務上および物流上に重大な影響を及ぼし、安全性が危険にさらされ、製造業者が代金を支払う可能性が高くなる可能性があることを知っています」と報告書は評価しています。 「ランサムウェア グループが圧力と影響を最大化するために戦術を洗練させているため、エネルギー、輸送、産業用制御システム ベンダーなどの他の産業部門も依然としてリストの上位にあります。」
グループは通常、VPN などの組織のリモート サービスをターゲットにしており、基本的なネットワーク セキュリティ防御原則が欠如しているだけでなく、悪意のある活動を隠すため。
ドラゴス氏は報告書の中で、被害組織のうち、「IT システムと OT システム間の厳密なネットワーク セグメンテーション」があり、バックアップ テストも行っていた組織は、身代金の支払いを回避しながら復旧時間を大幅に短縮したと指摘しました。
資産所有者と運営者が注目すべき新しい傾向は、2023 年と 2024 年に、ハクティビスト グループが活動の一環としてランサムウェアを使用していることをドラゴスが観察したことです。これらのグループの 1 つが CyberVolk でした。CyberVolk は、CARR を含むハクティビスト同盟ホーリー リーグのメンバーであり、サービス妨害攻撃やランサムウェアを使用して NATO 加盟国を標的にする傾向があります。
「この経済的、政治的、イデオロギー的利害の融合が、2025 年以降のランサムウェア脅威の状況を形作る可能性が現実的にあります。特に、ハクティビストおよび自称ハクティビスト グループが戦略的関心対象と見なしている公共の安全と経済の安定にとって重要な分野においてはそうです。」と報告書は述べています。 「したがって、OT/ICS 資産所有者は、自分の組織が特定の緊張地域内で活動している場合、または公共に重要なサービスや公共事業を提供する部門に属している場合、地政学的な認識を高める必要があります。」
今年のレポートが前年とどのように比較されるかについて詳しくは、こちらをお読みくださいセキュリティ管理者の報道範囲2023, 2022、そして2021ボリューム。
