Return to site

ウクライナCyberアタック 

マルウェアPetyaの分析レポート

· Petya,e-light,ウクライナ

Niサイバーセキュリティは、現在複数の社員がウクライナにあるセキュリティプロフェッショナルサービスのパートナーであるイーライトを訪問し、ウクライナを襲っている大規模なサイバー攻撃についての情報を収集しています。


当地では、6月27日よりウクライナを中心にPetya(大統領の愛称であり、ウクライナを対象としたことが明示されている)による大規模なサイバー攻撃が発生し、政府機関、金融機関や空港をはじめ各所に大きな影響が出ています。
現在も影響は残っていますが、イーライトを含めた関係者の尽力で対応が進められています。
このサイバー攻撃は、WannaCryptor(ワナクライ)とはいくつかの点で異なり、今後の世界のサイバー攻撃に大きな影響を与えるターニングポイントとなるものであることが徐々にわかってきています。

その影響は広範囲にわたり、国営銀行含む21銀行の業務に影響、引き出しができない銀行も郵便局、民間の物流企業、国営電力会社、地域電力会社、空港、鉄道、地下鉄(自動改札動かず)、水道、内閣のサイト、地方自治体、メディア各社、ホームセンターチェーン、電話会社のコールセンターが停止、チェルノブイリ原発の管理システムは手作業に切り替え、などが発生しています。

Cyberアタック被害を伝える新聞
PCが起動せず手動で作業する空港職員

その特徴は
1.マルウエアが有する機能が非常に洗練されていること
2.マルウエア伝搬経路に全国で使われているビジネスソフトウエアのアップデートモジュールに仕込んでの配布がされていること
3.攻撃プロセスが新しく「Massive Coordinated Cyber Invasion 大規模で統制されたサイバー侵攻」と定義されるかってないものであること

があげられます。

この攻撃は、ランサムウエアのような金銭奪取を目的としておらず、今後の大きな攻撃の演習であると考えられています。

この調査は、NiCSのパートナー企業であるウクライナのセキュリティ会社ISSP社により実施されており、ISSP社はウクライナを襲った電力会社向けブラックエナジー攻撃(2015年、2016年)の解析で世界的に有名となりました。
ISSPでは、過去のサイバー攻撃の類型化を進めており、この攻撃は過去のどのサイバー攻撃のタイプにも属さないまったく新しい攻撃「Massive Cordinated Cyber Invasion 大規模で統制されたサイバー侵攻」と判断し警鐘を鳴らしています。

ISSP

1)マルウエアの特徴は下記のとおりです。

・一つのマルウエアに、侵入・パスワード奪取・分析・伝搬・データ及びログの削除ツールが融合しています。今回の攻撃は、mimikatz、PsExec、wmic、vulnerabilitySMB、MBRの上書き、ログクリーンアップ、ファイル暗号化などのツールを同時に使用することはできる初めての攻撃ツールであることが判りました。

・特に注目しなけらばならない機能として、カスペルスキー、ノートンセキュリティ、シマンテックのウイルス対策ソフトの3つの特定のプロセスの検知動作を回避する機能が搭載されている点があります。マルウェア開発者がこれらのプロセスに対応するアンチウイルス対策を突破できないという前提は揺らぎ始めている可能性があります。また、攻撃者がこのような機能を作った最終的な目的は何かという問題はまだ残っています。

・マルウエアは高度に暗号化されており、上記のような機能が存在していることが容易に解析できない程洗練されており、開発に想定される費用などから国家規模の組織がかかわっていると想定されます。

・ISSPのリバース分析で明らかにされたところでは、このプロセスでバックドアやスリーパーエージェント(ThreatSCALE™用語)を残すことができます。今後、このマルウェアは異なるプロセス名に改変されて利用され続けると想定できます。

(2)マルウエアの伝播する経路は下記のとおりです。

・ウクライナの企業・政府機関が広く利用されている、経理・徴税業務のプラットフォームともなっているM.E.Docのというソフトウエアのバージョンアップ時にPetyaが配布されたことが判っています。

・ワナクライ同様のワーム機能

(3)ISSPでは、サイバーキルチェーンとして知られている7段階の攻撃ステップを再定義したThreatSCALE™を開発しており、それを基に分析をした結果、今回の攻撃では5つの主な目標を設定していたと現時点で想定しています。
- 以前のAPT攻撃のステージをクリーンアップする
- サイバーパワーのデモンストレーション、MCCI(Massive Coordinated Cyber​​ Invasion)の訓練
- 新しいサイバー兵器とセキュリティ機能、特に対応と回復のスピードをテストする
- 次回のサイバー攻撃またはMCCIへの準備
- ハイブリッド戦争の他の要素と組み合わせたMCCIの訓練実施

詳細の分析レポートは下記のリンクで参照ができます。
https://issp.ua/issp_system_images/Petya-NotPetya-Reverse-by-ISSP-Labs.pdf

ThreatSCALEの考え方

NiCSでは、今後も継続的にウクライナでのcyber攻撃について調査してゆきます。

All Posts
×

Almost done…

We just sent you an email. Please click the link in the email to confirm your subscription!

OKSubscriptions powered by Strikingly