ポーランドのコンピュータ緊急対応チーム(CERT)は、ロシア関連のハッカーによる同国の送電網への最近の攻撃を詳述した報告書を公開した。
この攻撃は、熱電併給(CHP)プラントや、風力・太陽光施設の再生可能エネルギー給電指令センターを含む約30拠点の通信・制御システムを標的にした。
ハッカーは産業用制御システム(ICS)へのアクセスを得たが、稼働中の発電システムではなく、主として送電網の安全性と安定性の監視システムを狙った。一部のICS機器は恒久的に損傷したものの、この事案による停電は発生しなかった。
「ただし、攻撃者が得たアクセス権限のレベルを踏まえると、影響を受けた施設で発電が中断されるリスクがあったことは指摘しておくべきだ」とCERT.PLは報告書で述べた。「仮にそのような中断が起きていたとしても、分析によれば、30施設すべてにおける容量損失の合計は、当該期間におけるポーランドの電力システムの安定性に影響しなかったことが示されている」
ポーランドCERTによると、この攻撃は2025年3月という早い時期に開始され、7月にかけて偵察、不正なデータアクセス、認証情報の収集(ハーベスティング)を試みる動きが検知された。
CERTは、標的となった各施設でFortinet FortiGate機器がインターネットに露出しており、デフォルト認証情報が使用され、多要素認証も導入されていなかったと報告した。ファイアウォールとVPNインターフェースの両方として機能していたこれらのFortinetアプライアンスが、初期侵入経路となった。
ハッカーは12月29日に妨害および破壊的な行為を開始し、その一部は部分的に自動化されていた。
標的となったICS
CERT Polskaの報告書は、攻撃で製品が標的となったICSベンダーとして、Hitachi Energy、Moxa、Mikronikaの3社を挙げている。
Hitachiのケースでは、標的となった機器にはRTU560リモート端末装置(RTU)が含まれ、脅威アクターはデフォルト認証情報を用いてアクセスした。このアクセスにより、攻撃者は悪意あるファームウェアをアップロードできた。調査担当者は、悪意あるファームウェア更新を防ぐためのセキュリティ機能が有効化されていなかったことを確認したが、仮に有効化されていたとしても、当該機器は署名のないファームウェア更新を可能にする既知の欠陥であるCVE-2024-2617の影響を受けていた。
脅威アクターはHitachiのRelion保護・制御リレーも標的にした。これらの機器へのアクセスは、デフォルトのFTPアカウントを無効化しなかったこと(ベンダーはこのアカウントの無効化を推奨している)と、デフォルト認証情報の使用により可能になっていた。
ロシア関連のハッカーは、ポーランド拠点の産業オートメーションソリューション企業Mikronikaが製造するRTUおよびヒューマン・マシン・インターフェース(HMI)も標的にした。いずれのICS機器もデフォルト認証情報で保護されており、攻撃者は悪意ある変更を加えることができ、最終的に破壊的行為を開始できる状態にした。
脅威アクターはHMIソフトウェアをホストするWindowsマシンにワイパーを展開し、デフォルトのローカル管理者認証情報で保護されていた機器では損害が発生した。
MoxaのNPortシリアルデバイスサーバーも標的となった。CERT.PLによると、攻撃者は露出したWebインターフェースとデフォルト認証情報を用いてシステムにアクセスし、その後、工場出荷時設定にリセットし、ログインパスワードを変更し、正規ユーザーがアクセスできないIPアドレスを割り当てた。
「分析した各ケースにおいて、施設でアクセス可能だったMoxa機器はすべて標的となった」とCERT.PLは説明した。
産業サイバーセキュリティ企業Dragosは以前、RTUは最終的に復旧したものの、特定されていない一部のICS機器は修復不能な損傷を受けたと報告している。
一部の脅威アクターはICS攻撃を実行するための高度な能力と豊富なリソースを有しているが、この事案は、産業システムが低スキルのハッカーにとっても侵入が容易であることを改めて示している。
ICSベンダーの対応
Hitachi Energyは金曜日、ポーランドのエネルギー送電網への攻撃で同社のRTU560およびRelion 650製品が標的となったことを顧客に知らせるためのアドバイザリを公開した。
同社は顧客に対し、機器の更新と一般的なサイバーセキュリティ対策の実施を促した一方で、攻撃者が同社機器を侵害できたのは「より広範なシステム環境におけるサイバーハイジーン(基本的な衛生管理)の不足」によるものだと指摘した。
Hitachiは、侵害された機器がデフォルト認証情報で設定され、推奨されるセキュリティ機能が無効化され、古いファームウェアを実行しており、脆弱なファイアウォールの背後に置かれていたと述べた。
MikronikaはSecurityWeekに対し、同社はインシデント調査でCERT Polskaと協力し、攻撃全体の分析にも積極的に参加したと語った。
同社のCSOであるTomasz Szała氏はSecurityWeekに対し、この攻撃でゼロデイ脆弱性が使用された証拠はないと確認した。「攻撃者が悪用したのはデフォルト認証情報だけだった」とSzała氏は述べた。
執筆時点でMoxaはアドバイザリを公開しておらず、SecurityWeekのコメント要請にも回答していない。
帰属
この事案が公になった直後、ポーランド当局はこのサイバー攻撃の責任はロシアにあると非難した。しかし、特定の脅威アクターに最初に帰属させたのはサイバーセキュリティ企業ESETだった。
ESETは、マルウェアおよび関連するTTPの分析に基づき、中程度の確度で、Sandwormが攻撃の背後にいたと報告した。同社の分析は、DynoWiperを含む、攻撃で使用されたワイパーマルウェアに焦点を当てている。
Dragosはこの攻撃を、同社がElectrumとして追跡しているグループによるものだと(こちらも中程度の確度で)帰属させた。同社はElectrumを、Sandwormと関連はあるが常に同一ではない存在だと説明している。
Sandwormはロシア軍情報機関との関係が指摘されており、2016年のウクライナ送電網攻撃を含む破壊的攻撃で主に知られている。
これに対し、CERT.PLはこの攻撃を、Static Tundra、Berserk Bear、Ghost Blizzard、Dragonflyとして追跡されている脅威アクターに結び付けており、同アクターは偵察とスパイ活動に重点を置いている。
