【ウクライナ危機(65)】侵攻の約1ヶ月前・・・サイバー空間ではすでに戦争は始まっていた『サイバー戦争』

 

【ウクライナ危機(65)】侵攻の約1ヶ月前・・・サイバー空間ではすでに戦争は始まっていた『サイバー戦争』

前回記事を読む▼

【ウクライナ危機(64)】チェチェンの凶悪部隊カディロフツィがロシア側で参戦・・・。率いるのはプーチンの忠犬『ラムザン・カディロフ』
“https://diggity.info/society/ukraine-64/”

Cyberwarfare

サイバーウォー

WIRED/YouTube

ロシアはこれまでも、情報機関などが中心となって、ウクライナをはじめとする国外へのサイバー攻撃を実施してきた。軍の情報機関であるロシア連邦軍参謀本部情報総局(GRU)は、第85特殊任務総部門(GTsSS)や特殊テクノロジー総部門(GTsST)などサイバー部隊を抱えている。

サイバー攻撃で「ロシア圧勝」のはずが…人類初のハイブリッド戦争はなぜ大失敗した?/Newsweek.2022

また国内を中心に活動するロシア連邦保安局(FSB)にも情報セキュリティー部門(通称「センター18」)などのサイバー攻撃集団が存在する。対外情報機関であるロシア対外情報庁(SVR)のサイバー部隊も「コージーベア」と呼ばれ、各地でサイバー攻撃活動が確認されている。

サイバー攻撃で「ロシア圧勝」のはずが…人類初のハイブリッド戦争はなぜ大失敗した?/Newsweek.2022

加えて、今回の侵攻後は、隣国ベラルーシを拠点にロシアのために活動する「Ghostwriter(UNC1151)」といった組織や、民間からも「Gamaredon」「Killnet」といった34ほどの「活動家」組織が動いてきた。

サイバー攻撃で「ロシア圧勝」のはずが…人類初のハイブリッド戦争はなぜ大失敗した?/Newsweek.2022

プーチンの宣戦布告の約1ヶ月前…。すでに戦争は始まっていた

ロシア軍が侵攻を開始したのは、2月24日。しかし、その1か月以上前に「事実上、戦争は始まっていた」という認識を示しました。

拡大する“見えない戦場” ウクライナ・サイバー戦の実態/クローズアップ現代 全記録 – NHK.2022

2022年1月14日 『ウクライナ政府サイトに脅迫文』

ウクライナ国家特殊通信・情報保護局 ユーリ・シチホリ局長
「1月14日、政府が最初のサイバー攻撃を受けました。本当に戦争が始まったのは、1月14日だったのです」

拡大する“見えない戦場” ウクライナ・サイバー戦の実態/クローズアップ現代 全記録 – NHK.2022

1月14日、政府機関のおよそ70の公式サイトが一斉に乗っ取られ、突然、脅迫メッセージが表示されるという「事件」が発生していた。

見えてきたサイバー戦 ハイブリッド戦 ウクライナで激しい攻防/NHK NEWS WEB.2022

ハッカー攻撃を受けた政府サイトには「ウクライナ国民よ。あなた方の全ての個人情報が公開ネットワークにアップロードされた。コンピューター内の全てのデータが消去された。復元は不可能だ。全ての個人情報が公開された。恐れよ、最悪を覚悟しろ」とのメッセージがウクライナ語、ロシア語、ポーランド語で表示されている。

ウクライナ政府サイトに大規模ハッカー攻撃 「最悪を覚悟しろ」/REUTERS.2022

こうしたサイバー攻撃は決して高度なスキルを必要とするものではないが、ウクライナに脅しをかけて心理戦を仕掛け、混乱をもたらそうとしたものと考えられる。

ウクライナ侵攻:ロシア「制裁への報復」サイバー攻撃に備えよ/新潮社 Foresight.2022

 ウクライナ政府は、ロシアによるサイバー攻撃だとして非難した。ロシアからの偽情報に対抗するためウクライナ政府が作った戦略通信情報セキュリティセンターは、「政府機関へのこれだけ重大な攻撃はしばらく見ていなかった」とし、「今回の攻撃は、NATOにおけるウクライナの将来について、ロシアによる交渉が失敗したことと関連しているようだ」と分析した。

ウクライナ侵攻:ロシア「制裁への報復」サイバー攻撃に備えよ/新潮社 Foresight.2022
「世界初のサイバー戦争の開戦日」

「ロシアと傘下のハッカーが攻撃の手を緩めることはないと明確に理解した」

【主権回復】第4部 戦争とどう向き合う (5) 世界初サイバー戦争 開戦 押し返すウクライナ、米が長期支援/産経ニュース.2022

ウクライナ国家特殊通信・情報保護局(SSSCIP)のデジタル部門統括責任者、ビクトル・ゾラはその日を「世界初のサイバー戦争」の開戦日だったと位置付ける。

【主権回復】第4部 戦争とどう向き合う (5) 世界初サイバー戦争 開戦 押し返すウクライナ、米が長期支援/産経ニュース.2022

ウクライナのサイバー空間を混乱と不安定に陥れ、偽情報を流布するために明らかに組織的に準備された攻撃でした。この1月14日こそ、ロシアによるハイブリッド攻撃の出発点だったと考えています。

ロシアのサイバー攻撃、始まりは1月14日 ハイブリッド戦の舞台裏/朝日新聞デジタル.2022

《ワイパー》この時!破壊的なコンピューターウイルスを検出!!

そして、この時、一部の組織に対して、極めて破壊力の強いコンピューターウイルスが使われていたことがわかった。アメリカのIT企業「マイクロソフト」が分析した。

見えてきたサイバー戦 ハイブリッド戦 ウクライナで激しい攻防/NHK NEWS WEB.2022

そのウイルスは「ワイパー」と呼ばれるものだった。

見えてきたサイバー戦 ハイブリッド戦 ウクライナで激しい攻防/NHK NEWS WEB.2022
マルウェアの一種

ワイパー(Wiper)はマルウェアの一種(後略)

ワイパーとは【用語集詳細】/SOMPO CYBER SECURITY

マルウェアとは、プログラム可能なデバイス、サービス、ネットワークに害を与えたり、悪用したりすることを目的とした悪意のあるソフトウェアの総称です。一般的に、サイバー犯罪者はマルウェアを使って、被害者から金銭を巻き上げるのに利用できるようなデータを奪います。

マルウェアとは? 種類・症状や対策方法を解説/McAfee
破壊を目的とした凶悪なマルウェア=ワイパー

単なる「破壊」だけを目的としたマルウェア。それが「ワイパー型マルウェア」です。マルウェアなどのコンピュータウィルスには、さまざまな種類のものがあり、悪さをするのですが、その中で単に相手のコンピュータの中にあるファイルやデータの破壊、あるいはコンピュータのシステム自体の破壊のみを目的としたものがワイパー型マルウェアです。

ワイパー型マルウェアとは?攻撃の仕組みや特徴、対策について徹底解説/サイバーセキュリティ.com

ウィルスには、感染によってデータを暗号化し、身代金(ランサム)を要求するランサムウェアや、情報を盗み出し外部へ送るスパイウェアなどさまざまなものがあります。その中でもデータの破壊は、非常に被害が大きくなるものでもあり、問題が大きいと言えます。

ワイパー型マルウェアとは?攻撃の仕組みや特徴、対策について徹底解説/サイバーセキュリティ.com
ワイパーの名前の由来は文字通りの完全消去(ワイプ)

コンピュータや携帯情報機器などで、ハードディスクや内蔵フラッシュメモリなどの記憶装置の内容を完全に消去することをワイプということがある

ワイプとは – 意味をわかりやすく/IT用語辞典 e-Words

「ワイパー」という用語は、このマルウェアが目的とする最も基本的な機能が、被害者のマシンのハードディスクをワイプする(完全に消去して使用不能にする)ことに由来しています。

ロシアのウクライナ侵攻で急増する「ワイパー型マルウェア」を使った攻撃戦略とは/ネットワークセキュリティのフォーティネット.2022
ラムサムウェアと判別が難しい・・・しかもそれを狙って偽装していることも

一般的なワイパーは標的システムに侵入後、データを暗号化します。しかし、ランサムウェアと異なりこの暗号を復号することは不可能なので、攻撃を受けたシステムやデータは使用不能になります。

ワイパーとは【用語集詳細】/SOMPO CYBER SECURITY

 ランサムウエアとワイパーは、技術的な観点でも見分けるのが困難な場合がある。例えば「復号できない仕組みを持つランサムウエアもどき」だ。

データを破壊する「ワイパー」の脅威/日経クロステック.2022

 具体的には、ファイルを暗号化して脅迫文を表示するが、ファイルの復号を初めから考慮していない仕組みになっているマルウエアである。こうしたマルウエアは、ランサムウエアなのかワイパーなのか、詳細に解析しないと見分けるのが難しい。

データを破壊する「ワイパー」の脅威/日経クロステック.2022
ワイパー自身も消えてなくなるので検出が困難

Wiperは破壊したシステム上に存在していますので、結果的にWiper自身もなくなってしまいます。したがって、他のマルウェアと比べると、検体の回収が非常に難しい上に、侵入の経路を特定することもかなりむずかしいタイプの脅威として知られています。

ウクライナを襲った『Wiper』を調べてみた。~Vol. 1/Tech Note – Blue Planet-works.2022
「サイバー兵器」として登場したのは2012年

ワイパーマルウェアがコンピューターシステムを攻撃する「サイバー兵器」として登場したのは2012年4月のイラン石油省へのサイバー攻撃です。当時のイランの報道によるとイラン石油省本部のコンピューターのハードディスクデータが消去されました。2012年4月23日付のニューヨークタイムズは、ワイパーと呼ばれるコンピューターウィルスがイラン石油省を標的にしたと伝え、イラン当局は3月に攻撃に気付いたがマルウェアを除去できなかったと現地の報道を受けて報じました。

ウクライナ戦争で使われているワイパーマルウェアとは何か?/サイバーセキュリティ総研.2022

《BootPatch》1月14日の攻撃に使われたワイパー

 2022年1月13日~14日のサイバー攻撃は、複数のマルウエアを用いて実行されたという。例えば「BootPatch(ブートパッチ)」(マルウエアの名称は全てCERT-UAによるもの、以下同)はコンピューターが起動時に最初に読み込むマスター・ブート・レコード(MBR)を破壊し、コンピューターを起動できないようにするマルウエアだ。

ロシアがウクライナに仕掛けたサイバー攻撃の中身、「日本企業も最大限の警戒を」/日経クロステック.2022

《WhisperGate》2つ目のワイパー。追加の破壊プログラムをDLして実行

 Microsoftのセキュリティチーム「MSTIC」は1月16日、新種のマルウェア「WhisperGate」を報告した。ウクライナの政府、非営利団体などのシステムから1月13日に確認したものだ。

ウクライナのサイバー戦争 ロシアの侵攻の裏で/YouTube

 他には、サーバーから追加の攻撃プログラムをダウンロードして実行するマルウエアである「WhisperGate(ウィスパーゲート)」が使われた。このサーバーはゲーム利用者向けチャットソフトであるDiscordを悪用して構築されていた。WhisperGateに感染したコンピューターの中に侵入し、特定の拡張子を持つファイルを探し出して内容を破壊するのが「WhisperKill(ウィスパーキル)」と呼ぶマルウエアだ。

ロシアがウクライナに仕掛けたサイバー攻撃の中身、「日本企業も最大限の警戒を」/日経クロステック.2022

WhisperGate による攻撃の第 1 段階では、マスターブートレコード(MBR)が上書きされ、偽の(虚偽を含んだ)脅迫状が表示されます。第 2 段階と第 3 段階では、悪意のある Discord リンクからペイロードが取得されます。そして最終となる第 4 段階では、対象のファイルタイプに対してファイルコラプタ(ファイル破壊プログラム)が実行され、データが回復不能な状態まで破壊されます。

ウクライナを標的とする、破壊的マルチステージ型ワイパーマルウェア WhisperGate について解説/PR TIMES.2022
ラムサムウェアに偽装していた

ランサムウェアを装うWhisperGateの攻撃を受けて、ウクライナでは多数の組織が機能不全に陥りました。破壊

サイバーリーズン vs. WhisperGateマルウェアおよびHermeticWiperマルウェア/Cybereason.2022
2月4日 ウクライナがロシア側の攻撃者のアカウントを停止

 一方、ウクライナ側では2月4日にロシア側の攻撃者が使用していたと見られるSNSアカウントの停止処置が同国のインテリジェンス組織によって実行された。

ロシア制裁の報復としてサイバー攻撃のリスク高まる–クラウドストライクが警告/ZDNet Japan/20

侵攻の一週間前に複数のウクライナ政府サイトに『DDos攻撃』

 さらに2月15日、ウクライナ国防省や軍参謀本部など70近くの政府のウェブサイトが「DDoS攻撃(分散型サービス拒否、ディードス)」と呼ばれる種類のサイバー攻撃を受け、一時ダウンしてしまった。国営銀行Oschadbankや大手銀行PrivatBankもDDoS攻撃を受け、アプリやオンライン決済が一時不能になっている。

ウクライナ侵攻:ロシア「制裁への報復」サイバー攻撃に備えよ/新潮社 Foresight.2022

 2月18日、米英両政府は、ロシア軍の情報機関であるGRUがウクライナへのDDoS攻撃を行った可能性が非常に高いと発表。ウクライナの主権を無視したもので、受け入れることのできない行為と非難した。また、オーストラリア政府も、英米に呼応する形で2月20日に同様の非難声明を公表している。

ウクライナ侵攻:ロシア「制裁への報復」サイバー攻撃に備えよ/新潮社 Foresight.2022
ロシア連邦軍参謀本部情報総局(GRU)の攻撃の可能性

セキュリティベンダーMandiantの脅威インテリジェンス分析担当バイスプレジデント、John Hultquist氏は、2月20日付のセキュリティブログでこう述べている。

ウクライナのサイバー戦争 ロシアの侵攻の裏で/クラウド Watch.2022

 「(2月15日の攻撃が)GRUによるものだったとしても驚かない。われわれは、GRUが展開した嫌がらせや、弱体化を目的としたDDoS攻撃を何度も観測している」

ウクライナのサイバー戦争 ロシアの侵攻の裏で/クラウド Watch.2022
「DDoS攻撃」とは

DDoS攻撃は「Distributed Denial of Service attack」の略で、複数のパソコンを踏み台にしてサーバを攻撃するサイバー攻撃です。

「DoS攻撃」と「DDoS攻撃」の違いは何?初心者向けに解説/ITトレンド.2022

 DDoS攻撃を受けても、一時的にシステムがまひするだけで、データを盗まれたり、暗号化されて使用ができなくなったりするわけではない。しかし、大量のデータ送信に耐えるためにはサーバーを増設するなどコストがかかり、対策は難しいのが実情だ。

「DDoS攻撃」世界で5倍に急増、親ロシアのハッカー集団「キルネット」関与か/読売新聞オンライン.2022
他社のパソコンを支配して攻撃

第一に、攻撃者はマルウェアなどを用いて他者のパソコンを自分の支配下に置きます。そして、それらのパソコンを使ってターゲットであるサーバに攻撃を仕掛けるのです。一台のパソコンでは実現できない高度な攻撃も成立することから、未然に防ぐのが難しい脅威とされています。

「DoS攻撃」と「DDoS攻撃」の違いは何?初心者向けに解説/ITトレンド.2022

また、DDoS攻撃の恐ろしいところは、知らず知らずの間に無関係な人が攻撃に加担してしまうリスクにもあります。攻撃者が用いたマルウェアなどによってパソコンの操作権限を奪われ、DDoS攻撃に使われているかもしれません。被害者にならないだけでなく、加害者にならないための対策も必要なサイバー攻撃と言えます。

「DoS攻撃」と「DDoS攻撃」の違いは何?初心者向けに解説/ITトレンド.2022

DDoS攻撃では、攻撃対象のサーバーに大量のリクエストを送り付けます。Webサイトが対応しきれないほどの量のリクエストで処理能力を超過させ、Webサイトを正常に機能させないことが目的です。

DDoS攻撃とは/カスペルスキー
ウクライナ危機以降…全世界でDDoS攻撃が増加

ウクライナ危機が起きたことで、DDoS攻撃は全世界で増加している。米セキュリティー会社「インパーバ」が今年3月以降、世界約6200社で検知したDDoS攻撃は毎月1万回前後に上り、それまでの月の2~5倍になった。

「DDoS攻撃」世界で5倍に急増、親ロシアのハッカー集団「キルネット」関与か/読売新聞オンライン.2022
単独でのサイバー攻撃「DoS攻撃」

 「DoS攻撃(Denial of Service Attack)」とは、「サービス妨害攻撃」とも呼ばれる、サイバー攻撃の手法の1つである。

DoS攻撃(Denial of Service Attack)とは – @IT/ITmedia

DoS攻撃は、サイバー犯が1台の機器で対象となるウェブサイトやサーバーに過剰な負荷をかける攻撃です。それに対しDDoS攻撃は、複数台の機器を踏み台にして(利用して)さらに大規模な攻撃を行うものです。つまりDDoS攻撃は、DoS攻撃がより巧妙化し悪質化したものと考えてよいでしょう。

DDoS攻撃とは?DoS攻撃との違いや対策方法/ALSOK

《HermeticWipe(FoxBlade)》侵攻前日に検出されたワイパー

2月23日、HermeticWiper/FoxBladeという破壊的なマルウエアが、署名入りデジタル証明書を含む高度にカスタマイズされた形で登場した。

ケネス・ギアス「ロシア・ウクライナ戦争におけるコンピュータ・ハック」を読む/IT Research Art.2022
ESET Researchが検出

 ロシアによるウクライナ侵攻が開始された2月24日(現地時間)の午後、ウクライナの多数の組織のシステムがデータ消去マルウェアによるサイバー攻撃に見舞われたと、スロバキアのセキュリティ企業ESET Researchが報じた。数百台のコンピュータが影響を受けているという。

ウクライナへの新たなワイパー攻撃、仕込まれたのは昨年末──ESETが解説/ITmedia NEWS.2022

ESETはこのワイパー型マルウェアをHermeticWiperと名付けました。この攻撃は、一連のDDos攻撃により同国内の複数のウェブサイトがダウンしたわずか数時間後に発生しました。

新たなワイパー型マルウェア「HermeticWiper」がウクライナを攻撃/ESET.2022
セキュリティー企業『ESET』

2022年2月24日、ロシアがウクライナへ侵攻を開始。セキュリティ企業ESETは、サイバーセキュリティの観点から、この戦争に関する調査・研究および問題解決に積極的に取り組んできました。ESETの本社は、スロバキアのブラチスラヴァ市。

ウクライナ侵攻がサイバーセキュリティに及ぼす影響は?~ESETサイバーセキュリティ脅威レポート2022年第1三半期版を公開~/サイバーセキュリティ.com.2022

ESETは、スロバキア東部の国境付近において、ウクライナの人々が自らの生活を守るために闘う姿を目の当たりにしてきました。

ウクライナ侵攻がサイバーセキュリティに及ぼす影響は?~ESETサイバーセキュリティ脅威レポート2022年第1三半期版を公開~/サイバーセキュリティ.com.2022
侵攻前からウクライナへのサイバー攻撃を調査・監視してきた

ESETは、ロシアによるウクライナ侵攻以前から、ウクライナを標的にしたサイバー攻撃について、独占的かつ継続的に調査・監視を行っています。

ESETサイバーセキュリティ脅威レポート2022年第1三半期版を公開。ウクライナにおける脅威動向を包括的に解説/ESET.2022
昨年末から攻撃が計画

 ESETが「HermeticWiper」と名付けたデータ消去マルウェア(データワイパー)は24日午後5時ごろ検出されたが、ワイパーのタイムスタンプによるとコンパイルされたのは2021年12月28日になっており、この攻撃が昨年末には計画された可能性を示しているとESETは解説した。

ウクライナへの新たなワイパー攻撃、仕込まれたのは昨年末──ESETが解説/ITmedia NEWS.2022
「HermeticWizard」「HermeticRansom」

 HermeticWiperは、HermeticWizardとHermeticRansomという別の悪意のあるモジュールを含んでいる。

ロシアが支援? ウクライナ襲ったマルウェア「HermeticWiper」の脅威/ビジネス+IT.2022

HermeticWiperはデータを消去、HermeticWizardはローカルネットワークで拡散、そしてHermeticRansomはおとりのランサムウェアとして動作します。

ESET、「HermeticWiper」「IsaacWiper」による破壊的攻撃をウクライナ国内において確認/プレスリリース配信代行サービス『ドリームニュース』.2022
Microsoftが攻撃をブロック

Microsoftが、2022年2月24日にロシアがウクライナに侵攻を開始する数時間前に、ウクライナのネットワークがサイバー攻撃の標的にされていたことを発表しました。

「破壊的なサイバー攻撃」がロシアによる侵攻直前にウクライナを襲ったもののMicrosoftが速攻で対応していた/Gigazine.2022

 MicrosoftのプレジデントBrad Smith氏は発表の中で、同社はウクライナのユーザーを保護するために、ウクライナ政府、欧州連合(EU)、欧州各国、米国政府、北大西洋条約機構(NATO)、国連と連携しながら取り組みを進めていると述べた。

マイクロソフト、ウクライナに対するロシアのサイバー攻撃や情報戦への対応を発表/ZDNet Japan.2022

 同氏は、「Microsoftの脅威インテリジェンスセンター(MSTIC)は2月24日、ミサイルの発射や戦車の移動が起こる数時間前に、ウクライナのデジタルインフラに対して攻撃的で破壊的な新たなサイバー攻撃が行われていることを検知した。当社はただちにウクライナ政府に状況を説明した。その内容には、新たなマルウェアパッケージ(「FoxBlade」と命名)が使われたことが含まれており、同時に同マルウェアを防ぐための手順について技術的な助言をした」と説明している。

マイクロソフト、ウクライナに対するロシアのサイバー攻撃や情報戦への対応を発表/ZDNet Japan.2022

 Smith氏は、Microsoftが検知したウクライナへのサイバー攻撃は標的を絞ったものであり、2017年の「NotPetya」による攻撃ほど広範囲には影響が及んでいないと指摘している。

マイクロソフト、ウクライナに対するロシアのサイバー攻撃や情報戦への対応を発表/ZDNet Japan.2022

侵攻の前日・複数のウクライナウェブサイトが『DDos攻撃』によってダウン

 大規模なDDoS攻撃は、軍事侵攻の前日2月23日にも発生した。ウクライナ議会が緊急事態宣言の発出についての話し合いを始めたのとほぼタイミングを合わせて、ウクライナ内閣、外務省、インフラ省、教育科学省、大手銀行などのウェブサイトが一時ダウンしてしまった。ウクライナの国力を長期的に削ぐための攻撃というよりは、軍事侵攻時のウクライナ側の混乱増幅を目的としているものと考えられる。

ウクライナ侵攻:ロシア「制裁への報復」サイバー攻撃に備えよ/新潮社 Foresight.2022

ウクライナ兵にむけて『脅迫的なテキストメッセージ』

 侵攻開始前の2月15日にはウクライナの軍や銀行などがDDoSを受け、金融機関のサービスに支障が出た。これに先立つ1月には、データを破壊するマルウェアによる攻撃や、ウクライナ政府サイトの同時多発的な改ざんが始まり、2月23日にはウクライナ兵士に対する脅迫的なテキストメッセージが送られた。

変わり始めるWeb攻撃 背景に潜むウクライナ侵攻と”ハイブリッド戦”の影/ITmedia NEWS.2022

 いずれも、DDoSなどの「目に見える攻撃」とSNSによる拡散を組み合わせることで、相手に脅威を見せつけることが目的とみられる。相手国民の恐怖や不安感を煽り、世論の操作や兵士や民間人の戦意を削ぐなど、判断や行動の変容を狙った「認知戦」の一環というわけだ。このように、攻撃者は混乱を利用しようとする。

変わり始めるWeb攻撃 背景に潜むウクライナ侵攻と”ハイブリッド戦”の影/ITmedia NEWS.2022

《IssacWiper》侵攻の日。HermeticWipeの影響を受けていない組織へ攻撃

 最初の攻撃確認は2月23日だが、翌24日にはIssacWiperという別のワイパーによる攻撃も始まった。

ロシアが支援? ウクライナ襲ったマルウェア「HermeticWiper」の脅威/ビジネス+IT.2022

IsaacWiperは標的となったマシンのすべての物理ディスクと論理ボリュームを上書きするワイパー型のマルウェアで、ロシアがウクライナに対する侵攻を開始した2022年2月24日に初めて観察された。

ウクライナへのサイバー攻撃に使われたマルウェア「IsaacWiper」とは?/TECH+総合トップ – マイナビニュース.2022
別のウイルスでありながら「HermeticWiper」「WhisperGate」と同じ効果を発揮

ウクライナへのサイバー攻撃に使われた3種類のワイパー型マルウェア(IsaacWiper、HermeticWiper、WhisperGate)の間にコードの重複はない。ただし、IsaacWiperはさまざまな方法で他の2つのマルウェアと同様の効果を発揮する

ウクライナへのサイバー攻撃に使われたマルウェア「IsaacWiper」とは?/TECH+総合トップ – マイナビニュース.2022
2021年10月頃からこのウイルスが動いていた可能性が浮上

最も古いPEコンパイルのタイムスタンプは2021年10月19日であり、つまりPEコンパイルのタイムスタンプが改ざんされていなければ、IsaacWiperは数か月前にそれ以前の攻撃で利用されていた可能性があります。

ESET、「HermeticWiper」「IsaacWiper」による破壊的攻撃をウクライナ国内において確認/プレスリリース配信代行サービス『ドリームニュース』.2022
バージョンアップして再び攻撃を開始

 つまり2月24日の攻撃は、IssacWiperの2度目の活性化を意味する。しかも24日の攻撃に利用されたIssacWiperはバージョンアップされており、21年10月の攻撃では対象としていなかったログファイルを消去対象としていた。

ロシアが支援? ウクライナ襲ったマルウェア「HermeticWiper」の脅威/ビジネス+IT.2022
HermeticWiperの攻撃を受けていない組織を攻撃 = 実行犯は同一人物の可能性

特筆すべき点は、IsaacWiperは、HermeticWiperの影響を受けていない組織で検出されています。

新たなワイパー「HermeticWizard」とワーム「IsaacWiper」でウクライナへ攻撃/ウイルス対策のESETセキュリティソリューションシリーズ.2022

(前略)HermeticWiperで狙われた組織とは異なる場所にIssacWiperをばら撒くといったことが行われており、両者の背後にいる攻撃者は同じところにつながっているというのが明らかに見て取れます。

ウクライナを襲った『Wiper』を調べてみた。~Vol. 2/Tech Note – Blue Planet-works.2022

《Acid Rain》通信機器を完全に破壊

 2月24日午前2時30分頃(現地時間)、ウクライナ軍に通信を提供していた米通信大手ビアサットの衛星通信網が突然、機能障害を起こした。ロシアのサイバー攻撃だった。

[ウクライナの教訓 侵略半年]<1>露が衛星網奇襲、独の風力発電停止…激化するサイバー戦/読売新聞オンライン.2022

午前6時前にロシアのウラジーミル・プーチン大統領がテレビ演説で侵攻を宣言したが、その直前の5時頃には、ロシアによる衛星コミュニケーションへのサイバー攻撃が本格化し、数時間にわたって通信障害が継続した。

サイバー攻撃で「ロシア圧勝」のはずが…人類初のハイブリッド戦争はなぜ大失敗した?/Newsweek.2022

同システムを運営する会社ビアサットによれば、数万の通信機器がダメージを受け、多くが修復不可能なレベルに破壊されたという。数万ともいわれるユーザーの通信に影響が出た。

サイバー攻撃で「ロシア圧勝」のはずが…人類初のハイブリッド戦争はなぜ大失敗した?/Newsweek.2022

 衛星は軍にとって偵察の目となるだけでなく、指揮通信の神経と言える役割を果たしており、ウクライナ軍は一時的に混乱に陥った。その直後、露軍の戦車は国境を次々と越えた。

[ウクライナの教訓 侵略半年]<1>露が衛星網奇襲、独の風力発電停止…激化するサイバー戦/読売新聞オンライン.2022
攻撃の範囲はさらに拡大!風力発電機が接続不可能に…。

さらに攻撃の範囲が拡大し、ドイツのEnercon社の風力発電機5,800台が接続不可となり、遠隔地からの監視・制御不能となった。今回、この攻撃がデータ消去マルウェア「AcidRain」によるものであると確認した。

データ削除ソフト「AcidRain(=酸性雨)」、ヨーロッパ大陸諸国を席巻/PRTIME.2022

「AcidRain」の存在を最初に把握したのは、アメリカのセキュリティ企業SentinelOneの研究チーム「SentinelLabs」である。 当初、研究者たちは、ドイツで5,800基の風力発電機が稼働しなくなったことをきっかけに、Viasat社のKA-SATルータに注目した。 当時、Viasat社からは技術的な指標や事故対応に関する報告などはなかった。そして、SentinelLabsの研究チームは、攻撃者がKA-SATの管理機構を使ってモデムやルータ用に設計したデータ消去マルウェアを埋め込み、サプライチェーン攻撃によって今回の被害をもたらしたという仮説を立て、検証を行った。

データ削除ソフト「AcidRain(=酸性雨)」、ヨーロッパ大陸諸国を席巻/PRTIME.2022
適切な標的とタイミングを狙って攻撃を実施した最初に実例

サイバーセキュリティ企業センチネルワン(SentinelOne)のフアン・アンドレス・ゲレーロ-サーデ主席研究員は、ビアサットへの攻撃は今回の戦争で確認されているサイバー攻撃の中で最も重要なものだと指摘する。「ウクライナの軍事力の無効化を狙った最も組織的な試みだからです」。また、地上の軍事力を強化するために、敵軍が使用するテクノロジーを無力化し、さらには破壊するサイバー攻撃を適切な標的とタイミングで実施する方法を示した最初の実例でもある。

ロシア、侵攻直前に衛星通信企業へサイバー攻撃 端末数千台破壊/MIT Technology Review Japan4.2022

アシッドレイン研究の最前線にいるゲレーロ-サーデ主席研究員によると、かつてロシアが使用していたマルウェアは標的を絞ったものだったが、アシッドレインはより汎用性の高い武器だという。

ロシア、侵攻直前に衛星通信企業へサイバー攻撃 端末数千台破壊/MIT Technology Review Japan4.2022

「アシッドレインの大きな問題は、(攻撃による損害に対する)安全性への配慮が一切ないことです。ロシアの以前のワイパー型マルウェアは、特定のデバイスでのみで実行するように配慮されていました。アシッドレインにはそうした配慮はなく、ブルートフォース(総当たり攻撃)でした。攻撃者は再利用できる能力を手に入れたわけです。問題は、次にどのようなサプライチェーン攻撃が起こるのかということです」。

ロシア、侵攻直前に衛星通信企業へサイバー攻撃 端末数千台破壊/MIT Technology Review Japan4.2022
はじまりはウクライナへの名前でアップロードされたファイル「ukrop」

AcidRainが2月に発生したハッキングの元凶であると突き止められた直接のきっかけは、3月15日にVirusTotalにアップロードされた「ukrop」というファイルがきっかけです。このバイナリファイルは、展開されると侵入したルーターやモデムのファイルシステム全体を破壊します。また、フラッシュメモリやSD/MMCカードなどのストレージ、仮想ブロックデバイスなどのデータも、使用されうるあらゆるデバイス識別子を使って消去してしまうとのこと。そして、最後にデバイスを再起動させて完全に使用不能にします。

ウクライナとEUの衛星通信モデムのデータを丸ごと消去するマルウェア「AcidRain」が見つかる/Gigazine.2022

「ukrop」というファイル名が「Ukraine Operation(ウクライナ作戦)」の略称か、ロシア人がウクライナ人を指す際に使う蔑称「Ukrop」を由来にしていると推測されることから、SentinelOneは「AcidRainはウクライナへの攻撃を念頭に置いて開発されたものである可能性がある」と分析しています。

ウクライナとEUの衛星通信モデムのデータを丸ごと消去するマルウェア「AcidRain」が見つかる/Gigazine.2022
明らかな戦争の破壊兵器

(前略)データ消去マルウェア「AcidRain」は、ロシア・ウクライナ戦争中に出現したもので、明らかに戦争の破壊兵器と考えられ、その危険性と脅威は過小評価することはできない。

データ削除ソフト「AcidRain(=酸性雨)」、ヨーロッパ大陸諸国を席巻/PRTIME.2022

ウクライナ兵を狙ったフィッシング攻撃『スピアフィッシング』

2月25日、ウクライナCERTは、ベラルーシ防衛省(別名UNC1151またはGhostwriter)で働くハッカーが、ウクライナ軍メンバーの個人用メールアカウントを標的としたスピアフィッシングキャンペーンを行ったと発表した。

ケネス・ギアス「ロシア・ウクライナ戦争におけるコンピュータ・ハック」を読む/IT Research Art.2022

スピアフィッシングとは、攻撃者が標的型攻撃において利用するソーシャルエンジニアリング戦術の1つです。スピアフィッシングは、攻撃対象者の知人もしくは信頼している人物や団体(同僚や名の知られた組織など)を装ったメールを送り付け、騙すことで、アカウントクレデンシャルのような機密情報を開示させるか、不正なリンクをクリックさせるか、または悪意あるコードが埋め込まれた文書をダウンロードさせようとします。

スピアフィッシング:XDRに関する技術的な事例研究/ブログ | サイバーリーズン合同会社.2022

また、この手法は、SMSメッセージやなりすまし電話番号からの直通電話を通じて、あるいはソーシャルメディアなどその他の通信プラットフォームを通じて実行される場合もあります。後者の場合、被害者の連絡先や接続先が公開されているアカウントをハッキングすることでスピアフィッシングが実行されます。

スピアフィッシング:XDRに関する技術的な事例研究/ブログ | サイバーリーズン合同会社.2022

《CaddyWiper》新種のワイパーが発見される

ESETが運営するセキュリティ情報サイト「WeLiveSecurity」は3月15日(米国時間)、「CaddyWiper: New wiper malware discovered in Ukraine」において、ウクライナの組織を狙う新種のマルウェアを発見したと伝えた。

ウクライナでまた新種のマルウェア発見、PCのデータ消去する「CaddyWiper」/TECH+総合トップ – マイナビニュース.2022

CaddyWiperは現地の3月14日午前11時38分(UTC 午前9時38分)に最初に検出され、ごく限られた組織の数十のシステムが侵害されたことを確認しているとのこと。ESET製品では「Win32/KillDisk.NCX」として検出される。

ウクライナでまた新種のマルウェア発見、PCのデータ消去する「CaddyWiper」/TECH+総合トップ – マイナビニュース.2022

ESETによると、CaddyWiperは感染したマシンに接続されたあらゆるデバイスからユーザーデータやパーティション情報を消去し、ファイルデータをヌルバイト文字で上書きして復元不可能にしてしまうとのこと。

データを完全破壊するワイパー型マルウェア「CaddyWiper」がウクライナで見つかる、ロシアによる侵攻直前からこれで3つ目/Gigazine.2022

また、マシンがネットワークを管理するドメインコントローラかどうかを識別し、そのマシンのデータを消去しないようにするコードも確認されています。これについて、セキュリティ情報を扱うニュースサイト・BleepingComputerは「攻撃者がターゲットにした組織内に確立した侵入経路を維持しつつ他のデバイスのデータを消去し、組織に大きなダメージを与えるための戦術だと考えられます」と指摘しました。

データを完全破壊するワイパー型マルウェア「CaddyWiper」がウクライナで見つかる、ロシアによる侵攻直前からこれで3つ目/Gigazine.2022

これまでにウクライナで発見されている「HermeticWiper」や「WhisperGate」のようなワイパーと比べてコンパイルサイズが小さく、わずか 9KB です。

脅威アドバイザリ:CaddyWiper/Cisco Blogs.2022

CaddyWiperのコードは、HermeticWiperやIsaacWiperとは類似性は見られないが、HermeticWiperのケースと同様にGPO(Group Policy Object)を介して展開されていることが確認されたという。これは、攻撃者が事前にターゲットのネットワークを制御していたことを意味している。

ウクライナでまた新種のマルウェア発見、PCのデータ消去する「CaddyWiper」/TECH+総合トップ – マイナビニュース.2022

《DoubleZero》さらに新種!?破壊(ワイプ)する方法が2つあるワイパーが検出

ロシアによる侵攻のさなかに「DoubleZero」という別種のワイパーがウクライナの企業を攻撃したことを公開しました。このワイパーが検出されたのは 2022 年 3 月 17 日のことです。

脅威アドバイザリ:DoubleZero/Cisco Blogs2022

DoubleZeroという名前のこのマルウェアは、フィッシング戦術を介してコンピューターに侵入し、Windowsレジストリを消去し、感染したシステムをシャットダウンします。

2022年XNUMX月のサイバーセキュリティ総まとめ/SSL.com.2022

DoubleZeroという名前からわかる通り、ワイプする方法を二つ持っているのでこの名前が付いています。このDoubleZeroは情報が少なく、そもそもどこからやってきたのかが分からないのが実状です。

ウクライナを襲った『Wiper』を調べてみた。~Vol. 2/Tech Note – Blue Planet-works.2022

ウクライナはこの 2 か月間で「CaddyWiper」、「HermeticWiper」、「WhisperGate」などの攻撃に見舞われました。

脅威アドバイザリ:DoubleZero/Cisco Blogs2022

ベラルーシのハッカーがスピアフィッシング!『Cobalt Strike Beacon』

Security Affairsは3月28日、「GhostWriter APT targets state entities of Ukraine with Cobalt Strike Beacon」において、「GhostWriter」と呼ばれるサイバー攻撃グループがウクライナの政府機関を標的としたスピアフィッシングキャンペーンを実施しているという、ウクライナCERT(CERT-UA: Computer Emergency Response Team of Ukraine)の警告について伝えた。GhostWriterはベラルーシの支援を受けているとされているグループで、今回のキャンペーンでは「Cobalt Strike Beacon」と呼ばれるマルウェアの配布が行われているという。

ベラルーシの攻撃グループ、ウクライナ政府機関狙うフィッシング展開か/TECH+総合トップ – マイナビニュース.2022

このマルウェアに感染するとコンピュータの制御権を奪取される可能性がある(参考「Phishing attacks using the topic “Azovstal” targets entities in UkraineSecurity Affairs」)

ロシアのウクライナ侵攻に関連したサイバー攻撃最新情報(4月17日~23日)/TECH+総合トップ – マイナビニュース.2022

Cobalt Strikeは本来は正規のセキュリティテストツールだが、サイバー攻撃への耐性をテストするために標的マシンへの侵入をシミュレートする機能が含まれている。特にCobalt Strike Beaconと呼ばれる機能は、標的マシンに設置して攻撃のペイロードとして使用できるため、サイバー攻撃者がこのツールを悪用するケースが多発している。

ベラルーシの攻撃グループ、ウクライナ政府機関狙うフィッシング展開か/TECH+総合トップ – マイナビニュース.2022

《Industroyer2》ウクライナ大停電の危機

ESET/YouTube

 ウクライナ政府に協力しているセキュリティベンダーESETによると、マルウェア「Industroyer」の亜種「Industroyer2」がウクライナの電力施設で見つかった。ロシア政府がウクライナの電力会社の産業用制御システム(ICS)を停止させる目的で使用したものだという

ロシアがウクライナ電力網をサイバー攻撃で止めようとした? その狙いと手口/TechTargetジャパン – ITmedia.2022

こちらのWiperも、当時にニュースで大きく取り上げられましたが、このWiperを使ってウクライナの変電設備が狙われました。2015年の第1回目の攻撃では、ウクライナ西部で約22万5,000世帯の大規模な停電が発生しました。そして再び2016年にIndustroyerを使って行われた攻撃は、キーウの北部にあった変電所が狙われました。キーウ市内で1時間ほど停電が起こり「ブラックアウト」という形で報道されました。こちらの攻撃もロシア政府が絡んでいるのではないかと言われています。

ウクライナを襲った『Wiper』を調べてみた。~Vol. 1/Tech Note – Blue Planet-works.2022

Industroyerを展開したのは「Olympic Destroyer」のところでも言及したロシア政府の息が掛かった「Sandworm」と言われています。2014年にクリミア危機というロシアがクリミア半島を併合した大きなイベントがあり、ロシアとウクライナの関係性が悪化している時期でした。そのような背景もあり、Industroyerによる攻撃がウクライナで展開されたと考えられています。

ウクライナを襲った『Wiper』を調べてみた。~Vol. 1/Tech Note – Blue Planet-works.2022

ただ、このIndustroyer2は未然に感染を阻止され、結果的には大きな事故に発展することがなく、ウクライナの住人はこの影響を受けませんでした。もしもこれが、2015年、2016年と同じような形で大規模な停電を引き起こしていたら、かなり危険な状態になっていたということが推測されます。

ウクライナを襲った『Wiper』を調べてみた。~Vol. 2/Tech Note – Blue Planet-works.2022
CaddyWiperの新種も使用された

 攻撃ではIndustroyer2のほか、破壊的なマルウェア「CaddyWiper」の新バージョンが展開された。攻撃後の復旧プロセスを遅らせ、電力会社がICSコンソールの制御を取り戻せないようにすることを目的として仕掛けられたものだとESETはみている。

ウクライナ、電力施設狙うサイバー攻撃を阻止–ロシアのハッカー関与か/ZDNet Japan.2022

 また、Industroyer2に感染したマシンにもCaddyWiperが展開されているという。Industroyer2の形跡を隠蔽するための試みである可能性がある。

ウクライナ、電力施設狙うサイバー攻撃を阻止–ロシアのハッカー関与か/ZDNet Japan.2022

 ESETの研究者グループは次のように説明した。「ウクライナは再び、重要インフラを標的とするサイバー攻撃の渦中にある。今回の新たなIndustroyerキャンペーンの前には、ウクライナのさまざまなセクターを標的とした複数のワイパー攻撃が続いていた」

ウクライナ、電力施設狙うサイバー攻撃を阻止–ロシアのハッカー関与か/ZDNet Japan.2022

偽の政府サイトからウイルス拡散されていた!?

オランダの調査報道サイト「べリングキャット」とラトビアの調査報道サイト「ジ・インサイダー」は2月23日、ウクライナに対するサイバー攻撃についての分析結果を共同で報じた。

「偽政府サイト」でウイルス拡散、武力侵攻に先立ちサイバー波状攻撃/Yahoo!ニュース – Yahoo! JAPAN.2022

それによると、これまでのウクライナ政府機関などへのサイバー攻撃を分析したところ、ウクライナ政府サイトを装った複数の「偽政府サイト」が新たに見つかり、アクセスしたユーザー端末へのウイルス拡散が行われていた、という。

「偽政府サイト」でウイルス拡散、武力侵攻に先立ちサイバー波状攻撃/Yahoo!ニュース – Yahoo! JAPAN.2022
SNSアカウントの乗っ取り『フェイクニュース拡散』

たとえば、ウクライナ大統領府の請願サイトを開くと、黄色く目立つ「請願に署名を」のボタンが表示されクリックすると、pdfを偽装したzip形式の圧縮ファイルがダウンロードされ、その中身は「トロイの木馬」のようなウイルスだったとのことです。

サイバープロパガンダの見えない恐怖/ログ管理システム 構築支援サイト – イーセクター.2022

こうしたケースのサイバー攻撃ではまず想定されるのが、ウィルス感染したPCを踏み台にしてDDoS攻撃を行うためというものですが、その目的としてユーザのSNSのアカウントを乗っ取ってフェィクニュースの拡散を行わせようとすることも理由にあるようです。

サイバープロパガンダの見えない恐怖/ログ管理システム 構築支援サイト – イーセクター.2022
2016年米大統領選にも関与の疑い

このサイトには、ロシア政府で数々のサイバー攻撃を手がけてきた部隊が関与していると見られている。このサイバー部隊は、2016年米大統領選での米民主党本部システムへの侵入など、各国へのサイバー攻撃で繰り返し名指しされてきた。

「偽政府サイト」でウイルス拡散、武力侵攻に先立ちサイバー波状攻撃/Yahoo!ニュース – Yahoo! JAPAN.2022

ロシアによる武力侵攻の前日、2月23日にはウクライナ政府機関などへの大規模なサイバー攻撃が相次いで行われている。だが、今回解明された仕組みとの関連はわかっていないという。

「偽政府サイト」でウイルス拡散、武力侵攻に先立ちサイバー波状攻撃/Yahoo!ニュース – Yahoo! JAPAN.2022

ロシアのサイバー攻撃に対抗するために『IT軍』を創設!!

強力なサイバー攻撃部隊を持つロシア軍に対抗するため、ウクライナは前代未聞の手を打った。

ロシアとウクライナ、サイバー空間でも激しい応酬 ウクライナは「IT軍」創設、ハッカーに協力呼び掛け/サンスポ.2022

「IT軍を創設する。デジタル人材を求めている」。ロシアの侵攻開始2日後の2月26日、ウクライナのフョードロフ副首相兼デジタル転換相はツイッターでサイバー攻撃部隊の発足を宣言。さらに史上初めて戦争で国家がハッカーに広くサイバー攻撃を呼びかけた。

ロシアとウクライナ、サイバー空間でも激しい応酬 ウクライナは「IT軍」創設、ハッカーに協力呼び掛け/サンスポ.2022
created by Rinker
知らないうちに多大な被害を受け、攻撃国に大きな利益をもたらす「サイバー戦」の根本思想と実践法とは? 大国ロシアをベースに「サイバー戦」の全貌を元在ロシア防衛駐在官がひもとく! 2014年のウクライナ危機で、ロシアはわずかな抵抗を受けたのみで、簡単にクリミア半島を併合してしまったことを覚えているだろうか? 「サイバー戦」の例のひとつである。(「Books」出版書誌データベースより)

この記事の続きを読む▼

【ウクライナ危機(66)】サイバー大国ロシアとの戦いを率いたのはゼレンスキーの側近!その年齢は驚愕の31歳!『IT軍・サイバー義勇兵』
“https://diggity.info/society/ukraine-66/”
Previous post 【ウクライナ危機(64)】チェチェンの凶悪部隊カディロフツィがロシア側で参戦・・・。率いるのはプーチンの忠犬『ラムザン・カディロフ』
Next post 【ウクライナ危機(66)】サイバー大国ロシアとの戦いを率いたのはゼレンスキーの側近!その年齢は驚愕の31歳!『IT軍・サイバー義勇兵』

当サイトでは、利用状況の把握や広告配信などのために、GoogleやASP等のCookieが使用されています。これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについてはプライバシーポリシーをご覧ください

X