ポーランドは、同国のエネルギーインフラの中枢を狙った協調的なサイバー攻撃の波に見舞われた。
午前から午後にかけて、ハッカーは30カ所以上の風力・太陽光発電所、約50万人の顧客に供給する大規模なコージェネレーション(CHP)プラント、そして民間の製造企業を標的にした。
これらの襲撃は純粋に破壊を目的としたもので、デジタル放火にも例えられ、年末直前の厳しい低温と吹雪のさなかに実行された。
攻撃は通信と遠隔制御を遮断したものの、発電や熱供給を停止させるには至らず、利用者は差し迫った被害を免れた。
この事案は、ITネットワークと物理的な産業機器の双方を狙う稀なハイブリッド攻撃であり、典型的なサイバー諜報の域を超えてエスカレートした。
セキュリティ研究者は、攻撃の手順と戦術をまとめた詳細な報告書を公開し、重要分野における破壊工作への警戒強化を呼びかけている。
この出来事は、自動化機器が脆弱なハブとなり得る再生可能エネルギー系統に対する脅威が増大していることを浮き彫りにしている。
主な標的は、風力タービンや太陽光パネルからの電力をポーランドの配電システムへ流し込む、系統連系の要となる変電所だった。
これらの拠点には、遠隔制御と監視のためのリモート端末装置(RTU)、状態可視化のためのヒューマン・マシン・インターフェース(HMI)、電気的故障から守る保護リレー、そしてシリアルポートサーバー、モデム、ルーター、スイッチといった通信機器など、重要な産業用装置が設置されている。
ハッカーはまず、これらの変電所の内部ネットワークに侵入した。機器を把握するために徹底的な偵察を行い、その後、制御装置のファームウェア改ざん、システムファイルの消去、独自のワイパーマルウェアの展開という破壊の設計図を作り上げた。
この半自動化された破壊工作計画は12月29日の朝に作動した。損傷したRTUにより配電事業者(DSO)との通信が麻痺し、遠隔での監視と制御が阻まれた。
それでも、攻撃が中核の生産プロセスを避けたため、現地でのエネルギー生成は途切れることなく継続した。
この精密な標的設定は、攻撃者が運用技術(OT)に深い知見を持ち、ITの侵害と物理層の妨害を組み合わせるという、過去の事案ではほとんど見られない手口を示している。
Certによれば、CHPプラントはより潜密な脅威に直面していた。数カ月にわたる侵入の後、攻撃者は機微な運用データを窃取し、特権アカウントを掌握して、ネットワーク内を横方向に移動できるようにした。
彼らの目的は、内部機器上のデータを不可逆的に消去するワイパーマルウェアを放ち、熱生産を妨害することだった。エンドポイント検知・対応(EDR)ソフトウェアが介入し、拡散する前にペイロードを停止させた。
同日、製造企業も並行して攻撃を受けた。エネルギー目的とは無関係な便乗的攻撃だったが、主要な襲撃と同じタイミングで実行され、同一のワイパーマルウェアが用いられた。
技術分析により、このマルウェアは大量のファイル削除とシステム麻痺を狙って設計された高度なものだと明らかになっている。
侵害されたVPSサーバー、ルーター、トラフィックフロー、匿名化チェーンといったインフラ上の手掛かりは、悪名高い脅威クラスター――「Static Tundra」(Cisco)、「Berserk Bear」(CrowdStrike)、「Ghost Blizzard」(Microsoft)、「Dragonfly」(Symantec)――との関連を示している。
このグループは長年エネルギー分野に執着し、OT妨害のためのツールを有してきた。注目すべきことに、これは同グループに関する初の公に文書化された破壊的作戦であり、諜報から露骨な破壊工作へと転じたことを示す。
ポーランドの対応には、影響を受けたシステムの迅速な隔離とフォレンジック調査が含まれた。犯行声明を出した組織はないが、地政学的緊張のさなかというタイミングは警戒を高めている。
専門家は、旧式のOT機器が現代的な防御を欠くことが多い欧州のグリーンエネルギー推進に対し、模倣犯リスクがあると警告する。
運用者は、ネットワークのセグメンテーション、OT環境でのEDR、ファームウェア整合性チェックを優先すべきだ。
この事案は、サイバー・フィジカル戦の新時代を告げるものであり、重要インフラに対する強靭な防御が求められている。
翻訳元: https://cyberpress.org/poland-renewables-face-intrusions/