[レポート]サイバーフィジカル攻撃能力のルネッサンス – CODE BLUE 2023 #codeblue_jp

こんにちは、臼田です。

みなさん、セキュリティ対策してますか？(挨拶

今回はCODE BLUE 2023で行われた以下のセッションのレポートです。

サイバーフィジカル攻撃能力のルネッサンス

過去10年間、私たちは、急速に進化するOTセキュリティのコミュニティが、サイバーフィジカル攻撃と、それに対する重要インフラの防御方法について学んでいるのを見てきました。しかし、ウクライナ紛争が始まって以来、OTの脅威状況に変化が生じています。技術の進化に伴って、サイバーフィジカルシステムに対する脅威はこれまで以上に合理化され、一般的になりました。 紛争の間、犯罪者、ハクティビスト、国家を含む、様々な脅威活動の激化を観測してきました。このような活動により、OTシステムを標的とするマルウェアや攻撃能力の開発が急速に進んでいます。本講演では、ウクライナ侵攻前夜以降に観測された新機能を中心に、OTシステムへの脅威の進化について説明します。 特に、ロシアのOTサイバー能力開発を示唆する最近のリーク文書や、INDUSTROYER2、INCONTROLLER、そして最近ではCOSMICENERGYなど、産業用制御システムを標的とする高度に特化されたマルウェアについて議論します。私たちの調査結果から、サイバーフィジカル攻撃能力の発見という新時代を踏まえた、重要インフラの防御者への影響についても説明します。

Presented by : ダニエル・カペルマン・ザフラ - Daniel Kapellmann Zafra

レポート

• 本日は特に私が情熱をかけているOT、産業システムについて話していく
• 同じ土俵に立てるように用語などは説明していきたい
• 自己紹介
  • Google Mandiantで働いている
  • 産業システムは物理世界に影響をあたえる
• 野心的な画像を持ってきた
  • ルネッサンスの画像で生成AIで作成した
  • サイバーでどういう進化があったかという話をしたい
  • アタックがどんどん増えてきている
• 内容に入る前にもう一つ
  • 制御システムのプロフェッショナルはこの会場にいますか？(ほぼ挙手なし
  • 制御機器はいろんなところで使われている
  • 電気や水の制御など
  • しかしセキュリティレベルはITと大きな差がある
  • これがネットワークに入ると大変
  • 何が起こってきたかと最近のマルウェアについて話していく
  • 実際に物理的な影響があること
• この分野は新しい
  • OTは相対的には新しい分野
  • 2010年のSTUXNETがあった
    • イランで遠心分離機が攻撃を受けた
    • 物理の世界で影響を受けたのはこれが初めてだった
    • 本当に具体的なデバイスに特化した攻撃
    • 非常にコストも掛かっている
  • その後2015-2016年に停電が発生させられたりした
  • 2017年はTRITONがでてきた
  • その後、だんだんシンプルになってきた
  • そしてこの2年で爆発的に変わった
  • ウクライナの紛争の影響
  • COSMICENERGYというマルウェアが出てきた
• COSMICENERGY
  • 具体的な固有のマルウェア
  • OT向けのマルウェアはこれまで2回見つかっている
  • OTマルウェアを過去の事例に沿って発見した
  • これがロシアのウクライナ攻撃に使われているのではないかと考えた
  • オペレーションテクノロジーのマルウェア
  • 停電を狙ったもの
  • IEC-104と連動する
    • これはエネルギーのプロトコル
    • 2014年にも標的になった
    • 過去にもその攻撃があった
    • RTU(remote terminal units)と通信する
    • スイッチブレーカーと通信する
    • これは下請け会社が作ったものであった
  • 過去13年のマルウェアと似ている点もある
  • どう動くか
    • 2つのモジュールがある
    • PIEHOP
      • MSSQLにアクセス
    • もう一つ
      • IEC-104でやり取りする
      • こちらはOTの処理
    • ITとOTがつながる
    • LIGHTWORKによってスイッチブレーカーがオフになる
  • LIGHTWORKオンオフできる
    • 数時間しか効果がなくてもなぜやるのか
    • ウクライナの今ではすごく重要になる
  • 分析してみた
    • 通信をキャプチャする
    • IECの中身はよく知らないといけない
    • 注意、このサンプルはパーフェクトなものではない
  • COSMICENERGYはINDUSTROYERのアイデアを引き継いでいる可能性がある
    • いくつかのコードを確認しているとSolar Polygonという文字列が見つかった
    • プロジェクトのようなものに見えた
    • RostelecomはSolarという会社を買収していて、Polygonという演習を行っているらしい
  • エビデンスを示したい
    • 過去のOT脅威をまとめた
    • ロシアの活動
    • 2016年と2022年の電力網への攻撃
      • 非常に類似しているところがある
      • INDUSTROYERのアイデアを引き継いでいる可能性がある
      • IEC-104を使っていてMSSQLを利用している
• 我々はこれが大変なことではないかと考えている
  • このツールが広く使えることは可能性が低いと言われている
  • アクターがRedTeamツールを作っている
  • 参入障壁が低くなっている
  • ライトウェイトなものでも他のマルウェアと一緒に配布できる
  • 国家が攻撃能力を開発している可能性がある
  • Vulkan Leaks
  • 攻撃の要件がある
  • ツールは分からないがケイパビリティは判明した
  • どういったものを欲しがっているか理解できる
    • 電車の速度を調整したりバルブを締めたり
  • 国家のサポートがある
• 別の例
  • CVE-2023-3595
  • CVE-2023-3596
  • OTでは通常脆弱性は重要ではない
  • しかしこれらは注目している
  • APTに利用できる
  • 前年に起きたものと似ている
  • いろんな産業用デバイスをターゲットに見える
  • 1つ1つは小さいが、まとめて攻撃してくる
  • スパイ活動でもこれを見ていて危険度が上がっている
• 猫の写真
  • 可愛いけど攻撃しようとしたら引っ掻いて傷つけることができる
  • COSMICENERGYも可愛いかもしれないが非常に重要なインパクトがあると考えている
  • それは彼らの意図とも合致している
• 現実的な話
  • 危ないよというだけで終わるのは好きではない
  • どうやって見つけて行くのか
  • OTマルウェアの歴史的な手がかり
    • セキュリティが低いプロトコルが使われる
    • Pythonが使われている
    • Open sourceライブラリはよく使われている
  • COSMICENERGYの発見方法
    • 一般的な話
    • PythonとMSSQL部分で発見できる
    • 詳しくは公開するスライドを見てね
  • マルウェアをエクスポーズすれば脅威ではないと考えていた
    • しかしそうではなかった
    • ライブラリなどが使い回されている
• Takeaway
  • OTの攻撃への参入障壁が低くなっている
    • 誰でもできる訳では無いが
    • 洗練された攻撃者ではなくてもできる
    • シンプルな開発ができる
  • 攻撃のために小さな攻撃を使う
    • COSMICENERGYは他のマルウェアに似ている
    • OTマルウェアから学んだことは次にも使える
  • IT/OTの軋轢は引き続きある
  • ハンティングは重要

感想

OTでも攻撃の参入障壁が下がってきているということは脅威が大きくなっているということですね。

なかなか広範な領域ではないので難しいですが、一方で致命的な部分でもあります。意識していきたいですね。