Industroyer2:帰ってきたIndustroyer

ほぼこもセキュリティニュース By Terilogy Worx

Industroyer2は産業機器向けのマルウェアです。
2017年にウクライナの発電所で猛威を振るったIndustroyerの新種です。
今回のキャンペーンはこんな感じです。

  • ターゲットはウクライナの変電所
  • IoTとITの両方を同時に狙う
    Industroyer2による産業機器の侵害だけでなく、同時にIT機器に対し各種wiperを展開しました。
    CaddyWiper、ORCSHRED、SOLOSHRED、AWFULSHREDなどの使用が確認されています。
    Industroyer2による攻撃の存在に気が付くことや復旧作業の実施を遅くさせることを目的としたwiperの使用なのではないかと考えられます。

     

  • キャンペーンを実施している犯罪組織はSandworm
    2017年の発電所の件に関連していると考えられているSandwormが今回も活動していると考えられています。

     

  • 初期ベクトルは不明
    侵入経路はまだわかっていません。

     

  • 専用マルウェア
    Industroyerは動作時に攻撃対象を調整するなどの機構が搭載されていましたが、Industroyer2ではハードコーディングされています。
    マルウェアの中を確認するとコンパイル時に渡されたiniファイルで指定されたプライベートなIPアドレスが確認できます。
    犯罪者が特定の施設の内部情報を詳細に把握済みで、その情報をもとにマルウェアを準備し犯行に至ったことを示します。

     

  • 産業機械の安全機構の無効化
    製造現場の安定稼働のため、生産システムには異常時に処理が再開されるための機構が実装されています。
    Industroyer2はこの機構を無効化する機能も搭載しています。

     

  • 難読化されたログファイル
    Industroyer2にはlogging機構が搭載されています。
    マルウェアの解析ではこれが機構の把握につながることも多いのですがIndustroyer2のログは意味の判別できないエラーコードをログに出力するようになっています。
    マルウェアの作成者の手元にはエラーコード一覧があるわけですがそれを持っていない解析者側ではこのエラーコードの内容を想定することは容易ではありません。
    こういった方式の難読化も出てきたのだと驚かされます。

     

  • CaddyWiperも新種
    連携利用するツールも更新されていることが確認されています。
    たとえばCaddyWiperにおいては、そのloaderも変更されていますしCaddyWiper本体も変更が実施されています。

     

  • 破壊対象は産業機器とWindowsだけではない
    破壊対象にはLinuxとSolarisも加えられています。
    今回ターゲットとなった組織ではLinuxやSolarisが利用されていました。
    これらの環境もwormとwiperで攻撃されています。
    使用されたマルウェアはORCSHRED, SOLOSHRED, AWFULSHREDです。

ウクライナは現時点でもいろいろな脅威に同時にさらされている状態になっています。
ITシステムだけでなくIoTシステムも攻撃されています。
攻撃の開始点を少なく小さくする、攻撃が広がらないようにする、こういったことを狙える運用を継続していくことでが必要だと考えられます。

参考記事(外部リンク):Industroyer2: Industroyer reloaded
www.welivesecurity.com/2022/04/12/industroyer2-industroyer-reloaded/