ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2016-01-06

ウクライナで発生したサイバー攻撃による停電についてまとめてみた

| 02:00 | ウクライナで発生したサイバー攻撃による停電についてまとめてみたを含むブックマーク

2015年12月23日、ウクライナ西部(イヴァーノ=フランキーウシク州)で電力供給会社がマルウェア感染し、供給地域で停電が発生しました。ここでは関連情報をまとめます。まずはメモ書きレベルです。

ウクライナ語で記述された個所は翻訳サービスを通じて参照しているため不正確である可能性があります。

公式発表

piyokangoが被害報告を確認した電力供給会社は2社。公式な発表を確認できていないが報道では他1社の名前が出ている。*1

ISC-CERT (米国)
被害発表

電力供給会社 Kyivoblenergo の発表

電力供給会社 Prykarpattyaoblenergoの発表

ウクライナ保安庁 SBU の発表

タイムライン

日時出来事
2014年5月12日ウクライナ電力企業を狙った攻撃が確認され始める。
205年10月25日ウクライナの一部報道Webサイト不正アクセスを受ける。
2015年12月23日 夕方イヴァーノ=フランキーウシク州停電が発生。
〃16時50分頃イヴァーノ=フランキーウシク中心市街等一部復旧。
〃16時54分Prykarpattyaoblenergoが停電事故の発生を発表
〃17時37分Prykarpattyaoblenergoが停電事故の原因を発表
〃18時56分Kyivoblenergoの停電が復旧
2015年12月24日Kyivoblenergoが停電事故のお詫びを掲載
ウクライナ現地メディアTSNが停電の原因がサイバー攻撃であったと報道
2015年12月28日ウクライナ保安庁停電事案に対する声明を発表

日時は現地時間にて記載。

被害状況

被害発生地域

Prykarpattyaoblenergoによると次の地域に停電の影響が及んだと報告。

Ivano-Rrankisvk中心市街他の発生当時の様子。信号機が停止している様子。発生から30分後復旧した模様。

影響範囲は本当に「約140万世帯」なのか

次の記事で停電の影響を受けた人数が「約140万世帯」と表現されている。

Wikipedia等によると、今回停電の影響を受けたイヴァーノ=フランキーウシク州の人口は「約140万人」となっている。

市町村人口(Wikipediaより)
Ivano-Frankivsk(州全体)1,388,000人(2006年)
Ivano-Frankivsk204,200人(2004年)
Kalush63,800人(2006年)
Kolomyia61,428人(2013年)
Dolyna20,900人(N/A)
Halych6,290人(2013年)

具体的な被害数を報告しているのはKyivoblenergoのみであり、他は二次情報、あるいは人口統計からの推計にとどまっているように考えられる。

なお、WIREDでは「140万人ともされる多くの住民」といった表現が行われていた。

被害状況 (Kyivoblenergo)
  • 同社機器、および変電所の情報技術システムが不正アクセスを受け、110万ボルト級変電所7か所、35万ボルト級変電所23か所が切断された。
  • 約8万人の顧客へ約3.5時間の停電による影響が及んだ。
ICS-CERTの調査結果
  • 約22万5千人の顧客に影響が及んだ。
  • それぞれの電力会社で起きた障害は30分以内に発生していた。
  • VPN接続を介して電力会社のICSへアクセスが行われていた。
  • 一連の攻撃にBlackEnegryが初期のアクセス手段として用いられたかどうかは定かではない。

攻撃に使用されたマルウェアに関係する情報

分析情報
マルウェアの種類
種類概要
BlackEnergyF-secure2014年に公開したレポートが詳しい ([PDF] BLACKENERGY & QUEDAGH)
KillDiskシステム破壊ツール
SSHBearDoor(dropbear)SSHサーバー
reDuh内部ネットワークへアクセスするためのプロキシツール
weevely3Webshellを用いたバックドア
DESFixセキュリティバイパスツール(無署名ドライバの読み込み)
Gcatバックドア

KillDiskの検体サンプル
SHA256ファイル名
5d2b1abc7c35de73375dd54a4ec5f0b060ca80a1831dac46ad411b4fe4eac4c6ololo.exe
crab.exe
c7536ab90621311b526aefd56003ef8e1166168f038307ae960346ce8f75203dtsk.exe
f52869474834be5a6b5df7f8f0c46cbc7e9b22fa5cb30bee0f363ec6eb056b95svchost.exe
Gcatの検体サンプル
SHA256ファイル名
54517e2a85509bc7109b7befd7151a058c1b0cc90d38d19dad189f308fc9f3c7-
KillDiskだけで停電は起こせたのか

Symantecは次の説明の通り、KillDiskによるSCADAシステムへの攻撃の可能性について言及している。

理論上は、標的がレガシーの SCADA システムとの通信にこのソフトウェアを使っていることを攻撃者が察知すれば、sec_service サービスとそこでの通信を停止して、標的の環境に損害を与えられることになります。

http://www.symantec.com/connect/ja/blogs/disakil

SANSではKillDiskによる攻撃は可能ではあったものの、このマルウェアから電力システムの機能停止は引き起こされていなかったと指摘。

Malware likely enabled the attack, there was an intentional attack, but the 'KillDisk' component itself did not cause the outage.

http://ics.sans.org/blog/2016/01/09/confirmation-of-a-coordinated-attack-on-the-ukrainian-power-grid

攻撃方法

cys-centrumにより、メールに添付したファイルを通じてマルウェア感染させる手口がとられていたと説明されている。

送信確認時期対象BlackEnergy
2014年5月12日ウクライナの電力企業などBlackEnergy 3
2014年8月13日ウクライナ国関連組織や大学等BlackEnergy 2、3
2015年3月末ウクライナ西部電力企業BlackEnergy 2、3
2015年10月25日報道関係BlackEnergy 2、3

2015年10月の攻撃はウクライナ地方選挙に関係して報道関係へ行われたと推測されており、CERT-UAも攻撃に関する詳細報告をしている。

侵入に用いられた手法

スピアフィッシングを通じて相手の油断を誘い、次のマルウェアを添付することで受信した人間の環境を掌握しようとしていた模様。

  • 当時ゼロデイのMicrosoft Officeの脆弱性 (CVE-2014-4114)
  • Microsoft Officeのマクロ機能の悪用
  • JARファイル(Java)の読込

なお、CVE-2014-4114の脆弱性については当時ここにまとめている。

攻撃グループに関する情報

Sandworm によるものとされる理由
電話オペレーターへのDoS攻撃
  • コールセンターへの大量に架電する事象が発生。
  • 問い合わせによる発覚を遅延させることを目的とした可能性。

更新履歴