出典:Yri Arcurs(Alamy Stock Photo 経由)
米国政府は、洗練されていない 親ロシア派ハクティビストが、OT(オペレーショナル・テクノロジー)制御デバイスへのアクセスを得るために、米国の重要インフラを標的にしていると警告している。こうした、いわゆる「機会主義的」攻撃は、これまでのところ影響は限定的だが、将来的にはより深刻な脅威となる可能性がある。
この警告と並行して、
FBI、サイバーセキュリティ・インフラストラクチャー庁(CISA)、国家安全保障局(NSA)、および各国の当局は、サイバー・アーミー・オブ・ロシア・リボーン(Cyber Army of Russia Reborn:CARR)、Z-Pentest、NoName057(16)、Sector16 の4つの特定グループとその関係組織を特定した。これらはここ数週間で、OTシステムにおける、最低限のセキュリティしか施されていないインターネット公開のVNC(仮想ネットワークコンピューティング)接続を攻撃してきたと、火曜日に掲載された勧告は伝えている。これらのグループは、主に上下水道システム、食品・農業、エネルギー分野を標的として、これらのネットワークを侵害している。
高度な持続的脅威(APT)とは異なり、これら周縁的なグループは表面的には政府との直接的なつながりを欠いているように見えるが、ロシアのアジェンダを支持し、ウクライナおよび同盟国のインフラを同様に標的としていると、勧告は指摘している。「しかし、増加しつつあるグループの中には、直接的または間接的な支援を通じてロシア国家と関係があるように見えるものもある」とCISAは述べている。
CARRは以前、Mandiantが2024年に明らかにした、米国、ポーランド、フランスの施設における水供給の妨害の責任を主張していた。
「[この勧告は]、ハクティビストの隠れ蓑である Cyber Army of Russia Reborn(CARR)と、ロシア軍情報機関GRUとの関係について、以前から行っていた我々の評価を裏付けるものです」と、Google Threat Intelligence Group の主任アナリストであるジョン・ハルトクイスト氏は声明で述べた。「CARRは、偽のペルソナの背後に隠れながら、米国および欧州の重要インフラに対するサイバー攻撃を実行していました。」
さらに同氏は、「GRUは、欧米における物理的・サイバー攻撃による不安定化において、自らの関与を隠すため、進んで協力する共犯者にますます依存するようになっています。敵対者が自分たちが誰であるかを語るとき、その言葉を決して鵜呑みにしてはなりません。彼らは頻繁に嘘をつくのです」と付け加えた。
この勧告と同時に、司法省はカリフォルニア中部地区で、ウクライナ国籍のビクトリア・エドゥアルドヴナ・ドゥブラノワ(33歳、別名 Vika、Tory、SovaSonya)を、CARRおよび NoName057(16) を支援した行為により起訴したと発表した。ドゥブラノワは今年初めに米国へ身柄を引き渡されている。
ロシア系ハクティビストの攻撃手法
これらの攻撃は、いずれもほぼ同じ手順に従う傾向がある。まず攻撃者は、インターネットに公開されている、VNCポートが開いた脆弱なデバイスをスキャンし、その後、一時的な仮想プライベートサーバー(VPS)を用いてパスワード総当たりソフトウェアを実行する。
次に攻撃者はVNCソフトウェアを使ってホストにアクセスし、脆弱なデバイスへの接続を確認し、必要に応じてパスワードを総当たりで突破し、人間と機械のインターフェース(HMI)デバイスにアクセスする。これらは通常、デフォルトまたは弱いパスワード、あるいはパスワードがまったく設定されていないデバイスである。
その後、脅威アクターはIPアドレス、ポート、パスワードを用いて脆弱なデバイスにログオンし、HMIのグラフィカル・インターフェースを使って画面録画や断続的なスクリーンショットを取得し、ユーザー名/パスワード、デバイス名、計器設定など、さまざまなパラメータを変更する。また、アラームを無効化し、監視不能な状態(loss of view)を引き起こすことで、現場での手作業によるオペレーターの介入を必要とする状況を作り出す。さらに、デバイスの停止や再起動も可能だ。混乱を引き起こした後、攻撃者はデバイスから切断し、VNC接続を終了させ、その侵入後に標的の他のネットワークについて調査を進める。
これまでのところ、これらの攻撃は「物理的被害を含む、さまざまな程度の影響」を与えていると、勧告は述べている。「負傷者はまだ出ていないものの、占有中の工場や地域施設に対する攻撃は、人命安全への配慮が欠如していることを示している」とCISAは指摘している。
また、これらのインシデントは、オペレーションの復旧を支援するために専門家や技術を雇う必要から発生する人件費に加え、操業停止やネットワークの修復に伴うコストを招く可能性がある。
重要インフラを攻撃しているのは誰か?
これらのグループは別個の組織ではあるものの、オンライン上での公開支援や、戦術・技術・手順(TTP)の共有を通じて、より広いオーディエンスにリーチするために協力している。「これらおよび類似のグループは、重要インフラ組織を妨害するために、今後もこれらの手法を改良し共有し続ける可能性が高い」とCISAは述べている。
しかし個々に見ると、各グループは独自のアイデンティティを維持している。CARRは、ロシア連邦軍参謀本部情報総局(GRU)の特別技術本部(GTsST)第74455部隊に端を発し、「ロシア人民サイバー軍」としても知られている。同グループは、ロシアがウクライナに侵攻したのとほぼ同時期である2022年2月末から3月初旬頃にはすでに活動していた。
実際、このグループはウクライナ紛争におけるロシアの立場を支持しており、ウクライナを支援する米国および欧州に対するDDoS(分散型サービス妨害)攻撃の責任を主張してきた。2023年末には、産業用制御システム(ICS)を標的とするよう活動を拡大し、2023年10月には欧州の下水処理施設への攻撃を、翌月には米国の2つの酪農場への侵入を主張している。
CARRの管理者らと NoName057(16) の管理者1名は、GRUからの支援や資金提供の水準に不満を抱き、9月末に元のグループから分離して Z-Pentest を結成した。このグループはCARRと同じTTPを用いるが、GRUは関与していない。「このグループは、世界各地に分散する重要インフラ事業体を標的としたOT侵入作戦を専門としている」とCISAは述べている。
Z-Pentestは、DDoS活動を避ける点で、他の親ロシア派ハクティビストグループと一線を画しており、その代わりにハック・アンド・リーク作戦や改ざん攻撃を用いて、親ロシア的なメッセージへの注目を集めていると、勧告は指摘している。
NoName057(16) は2022年3月から活動しており、クレムリンの要請で設立された「若者環境の研究およびネットワーク監視センター(CISM)」の秘密作戦部門である。同グループは、CISMの上級幹部および従業員によって資金提供された独自のDDoSツール「DDoSia」を使用している。これらの幹部は、グループのネットワークインフラを資金面で支え、NoName057(16) のTelegramチャンネルの管理者を務め、DDoSの標的を選定していた。
これらのグループの中で最も新しいのがSector16であり、2025年1月にZ-Pentestとの協力のもと結成された。このグループは、戦略的なサイバー作戦の実行に対してロシア政府から間接的な支援を受けている可能性があり、米国のエネルギーインフラを侵害したとする動画、声明、主張を共有する公開Telegramチャンネルを運営している。これらの発信内容は、CISAによれば親ロシア的なナラティブと一致している。
OTに対するハクティビスト攻撃の緩和策
近年、米国の重要インフラに対する攻撃は数多く発生しており、米国の政治的敵対勢力が、サイバー攻撃を通じてさまざまな重要分野を混乱させる方法を常に模索していることは明らかだ。これらのインシデントは、ビジネス面で大きな影響を及ぼすだけでなく、人々の生活に壊滅的な物理的被害をもたらす可能性もある。一方で、この分野は、システムを侵入から守るために直ちに対処すべき重大なセキュリティ課題に直面している。
CISAの勧告には、OT資産の所有者および運用者が、潜在的に業務妨害的、あるいは破壊的な攻撃を回避するのに役立つさまざまな緩和策が含まれている。これには、OT資産のインターネット公開範囲を減らすこと、成熟した資産管理プロセスを採用すること、OT資産に堅牢な認証手順を用いることなどが挙げられる。
重要インフラ事業者はまた、攻撃による影響の可能性を排除するため、閲覧機能と制御機能を分離・監査できる制御システムのセキュリティ機能を有効化するとともに、攻撃発生時に備えて包括的な事業継続および災害復旧計画を整備しておくべきだと、CISAは述べている。
翻訳元: https://www.darkreading.com/threat-intelligence/hactivists-target-critical-infrastructure
