出典:Alamy Stock Photo提供/Pawel Chrzaszcz
先月、ポーランドの電力網に対して行われた破壊的なサイバー攻撃は、ロシアの高度持続的脅威(APT)グループ「Sandworm」によるものとされた。
ポーランドは先月、エネルギー網に対するワイパー攻撃の標的となり、エネルギー相のミウォシュ・モティカ氏はこれを、同国がここ数年で目にした中でも最も強力なものの一つだと述べた。首相ドナルド・トゥスク氏のウェブサイトに掲載された発表によれば、攻撃者は12月29日と30日に、2つの熱電併給発電所に加え、「再生可能エネルギー(RES)、すなわち風力タービンや太陽光発電所などの再生可能エネルギー源から生成される電力の管理を可能にするシステム」も標的にしたという。
発表では、攻撃は失敗し、「停電やその他の悪影響はなかった」と付け加えられている。トゥスク氏は1月15日の発表でSandwormの名は挙げなかったものの、責任主体として最も可能性が高いのはロシア政府だとして非難した。
セキュリティ企業ESETの研究者は1月23日、この攻撃を悪名高いロシアの脅威グループによるものだと中程度の確度で帰属させた。同様にESETはブログ投稿で、この攻撃の結果として「成功した妨害が発生したことは把握していない」と述べた。
それでも、国家間での潜在的な攻撃的サイバー行動は注目に値する。ロシアがポーランドを攻撃した正確な動機は不明だが、ポーランドはNATO加盟国であり、ウクライナの戦略的同盟国でもある。ロシアは、数年前にウクライナ侵攻が始まって以来、ウクライナと同盟関係にある国々を標的にしてきた経緯があり、またロシアは昨夏にもポーランドをサイバー攻撃で標的にしたとされている。
12月の攻撃についてESETは、観測されたマルウェアに加え、戦術・技術・手順(TTP)に基づき、同社が「多数の過去のSandwormによるワイパー活動と強い重なりがある」と説明する点を確認した。
「Sandwormは、特にウクライナの重要インフラに対する破壊的サイバー攻撃の長い歴史を持つ」とESETのブログは記している。「一方、12月最終週に発生したポーランドの電力網への攻撃では、ESETが分析しDynoWiperと命名したデータ消去型マルウェアが用いられた。ESETのセキュリティソリューションはDynoWiperをWin32/KillFiles.NMOとして検知する。」
Sandwormの破壊的な過去
Sandwormは悪名高いAPTグループで、これまで史上最も悪名高いサイバー攻撃のいくつかに関与したとされてきた。2015年にはBlackEnergyマルウェアを展開してウクライナの電力網を混乱させ、数十万人を数時間にわたり停電に陥れた。ESETの研究者は、今回のポーランドに対する攻撃がBlackEnergy攻撃の10周年に当たる日に発生したことを確認した。
2017年には、Sandwormはウクライナおよび60カ国以上の組織を、Petyaランサムウェアを基にした破壊的なデータ消去型マルウェアNotPetyaで標的にした。
脅威活動は、2022年初頭のロシアによるウクライナ侵攻を受けて再び激化した。Sandwormは、侵攻初期だけでなく、より最近にも、ウクライナに対して定期的にワイパー攻撃を実施している。ESETの9月の報告書によれば、Sandwormは夏の間、ウクライナの政府、エネルギー、物流、穀物部門の組織をワイパー攻撃で標的にした。当時研究者は、「穀物輸出が依然としてウクライナの主要な収入源の一つであることを考えると、このような標的化は同国の戦時経済を弱体化させようとする試みを反映している可能性が高い」と指摘した。
Sandwormは過去に諜報関連の活動でも知られてきたが、ロシアの地政学的目標に沿った破壊と混乱の実行部隊として最もよく知られている。前述のマルウェアに加え、SandwormはIndustroyer(CrashOverrideとしても知られる)のような他のワイパー系亜種でも確認されている。特にIndustroyerは、ウクライナに対しても使用され、Stuxnet以降に観測された産業制御システム/運用技術(ICS/OT)に焦点を当てたマルウェアの中でも、より顕著な事例の一つだった。
そしてDynoWiperだ。これは先月のポーランドに対する攻撃で使用されたマルウェアである。ESETの研究者は、一見すると新しいDynoWiperマルウェアに関する技術的詳細を提供していない。Dark Readingは追加情報を求めて問い合わせている。
翻訳元: https://www.darkreading.com/threat-intelligence/sandworm-wiper-attack-poland-power-grid
