@Robert_Lipovsky @cherepanov74
変電所への攻撃
停電を引き起こした
- Stuxnet
- Havex...(2014)諜報用
- Blackenergy...(2015)
- ICSを標的としたわけではない
- 標的ネットワークへのリモートアクセスを可能にする
- アクセス後、手動で停電を発生させる
- 有名な動画のやつだ!
- Industroyer...(2016)
- ウクライナでの停電を引き起こす
- ESETが解析
- 2017年12月公開
C&Cへの接続
感染したマシンからファイルの複製、アップロード
main backdoor -> vbs -> mySQL -> vbs
credentialがアプリケーションの中でハードコードされてた -> これはマズイ!!!w
再起動後にも起動するためのコマンド
予備のバックドア
windows notepadになりすました -> dragonflyでも使われていた手法
ハードウェア自体を直接コントロール
ハードウェアとは、プロテクションリレー(ブレーカの開閉、などを行う)
後述
プロトコルを悪用する (not 脆弱性の悪用)
- ランチャーコンポネント
- 個別のpayload module
- デバイスを制御できるモジュールを特定(独自のconfigurationを持ったdll)
- TCP/IP
- オペレーションのモード
- range
- shift
- sequence
brute forceのように総当たりでコマンドを送る
ログを取る機能もある
- TCP/IP
- IPアドレスが指定されてなくてもいい
- ネットワーク中のデバイスをスキャンして接続する
- ブレーカー、スイッチに対応する
- ブレーカーの開閉が目的
- OPCサーバを発見
- 特定のタグを検索する
特に難読化されているわけではないので、容易に解析可能
いずれもブレーカの開閉を目的としたpayloadになっている
物理的なハードウェアが破壊される
プロテクションリレーを機能不能にする
USPパケットを5万のデバイスに送る
ワークステーションを攻撃する
通常はランチャーで送ったペイロードを1,2時間後に停電するようにする
マシンのレジストリを破壊して、システムが起動不能にする
ワークステーションで作業をしようとしても起動することができない -> バックアップが重要
どのベンダにも有効なモジュール、特定のベンダに特化したモジュール
特定の国、特定のベンダではなく、広い範囲に影響する攻撃
攻撃者の能力、ターゲット(産業制御システム)への深い理解
事前調査が多くなされていることがわかる
-
これはゼロから構築されたものか?
- そう。このような能力のマルウェアを使って1時間の停電というのは影響が低い。なぜ??
- 全体としては攻撃者の目的は達成されたなかった??それとも大きな攻撃へのテストだったのか??
-
攻撃者は誰??
- 明確な答えはない。経済的な利益というのはない。力の誇示??国が後ろにいるというのは断言できないが、可能性はある。
-
日本は海外とは異なる特有なシステムを用いている。どれくらい解析できている?バックアップを用いるということは、ローカル環境で何が起こっていたのか、原因究明ができないがどうする?
- 攻撃者は痕跡を多く残したため、悪意のあるファイルやログを取得できた。基本的なインシデント対応で十分なのでは?ワークステーションはwindowsなので、windows向けのforensicsで大丈夫
- モジュールを用いるので、攻撃者が日本に向けたモジュールを利用する可能性もある。日本が標的になる可能性もある。
-
最後のペイロードに使われるファームウェアを注入するという話だった。それは実現している??
- GEのコードについて。目的はわからない。実際に使われたかどうかもわからない。発見したコードはcleanで、改ざんされていなかった。リフレッシュしてリプログラミングするというのもある。
-
どうやってそれが可能になる??インジェクションをロックする機能はどう解除した?
- ドキュメントを集めることができる。プロトコルは認証がないため、設計に欠陥があった。
-
GEから事前に情報を摂取する必要があったのでは??デフフォルトの設定などに関して事前に必要とされる知識が多い。
-
攻撃者は当該産業システムに対してよく知っていた。働いていたのか?それとも似た環境でテストを繰り返していたのか?
- 随分前に侵入済みで諜報活動をしていた可能性もあるが、実際の攻撃は5日間
- 証拠はない。前の攻撃からずっといたということもある。2015年の停電と2016年の停電の攻撃者を結びつけるようなヒントはまだ見つかっていない。
- 2回ともウクライナ。関連性がありそう。
- プロテクションリレーをebayで買うことは可能だが、システムのインフラ全体像を理解するためには、その全体の設計に関して、などの実際の現場を見る必要がある
- そのための何重にも保険がかけられたペイロードだったことがわかる。
-
Blackenergyとの関連の証拠は?
- 特にない。