イラン、ヨーロッパのエネルギー会社をハッキングした疑い|共同通信PRワイヤーVPNoverview.com

イランを拠点とする国営のハッキンググループが、ヨーロッパのエネルギー企業をハッキングした疑いがあります。グループは、攻撃でPupyRATと呼ばれるリモートアクセストロイの木馬(RAT)を使用したと考えられています.


PupyRATとは

Pupyは、主にpythonで記述されたオープンソースのRATで、攻撃者が被害者のシステムに完全にアクセスできるようにします。これはクロスプラットフォームのマルウェアであり、Windows、Linux、OSX、Androidなどの複数のプラットフォームに侵入できます.

リモートアクセストロイの木馬(RAT)は、ハッカーが被害者のコンピュータまたはネットワークを監視および制御できるようにするマルウェアです。これは、テクニカルサポートでよく使用される正当なリモートアクセスプログラムのように機能し、コンピューターの問題を持つ顧客を支援します。.

PupyRATはオープンソースのマルウェアですが、主にイランの国家支援のハッキングキャンペーンと関連しています。特に、APT 33の国家支援ハッキンググループに関連しています。 APT 33は、世界中のエネルギー部門の組織に対する過去の攻撃に関与しています.

RATの導入方法?

RATは、以前に侵害されたシステムにのみ展開できます。この例では、研究者はPupyRATがどのように展開されたかを知りませんが、スピアフィッシング攻撃によって配布されたと信じています.

スピアフィッシング攻撃は、通常のフィッシング攻撃のような多数の受信者ではなく、単一の受信者を対象としています。サイバー犯罪者は、組織内のターゲットを選択し、ソーシャルメディアやその他の公開情報を使用して、潜在的な被害者について詳しく学びます。次に、その人に合わせた偽のメールを作成します.

以前のAPT 33キャンペーンでは、攻撃者が潜在的な被害者を選択し、最終的には悪意のあるドキュメントを電子メールで送信する前に信頼を得ていました。その結果、研究者は、この場合、同じ展開方法が使用された可能性が高いと信じています.

エネルギー会社への侵入の証拠

Recorded FutureのInsikt Groupは昨日、2019年11月下旬から2020年1月5日まで、PupyRAT Command and Control(C2)サーバーがメールサーバーとチャットしている証拠を発見したと報告しました.

Insikt Groupのレポートはさらに次のように説明しています。「メタデータだけでは妥協点を確認できませんが、標的となるメールサーバーからPupyRAT C2への大量の通信および繰り返しの通信は侵入の可能性を示すのに十分であると評価します。」

メールサーバーは、ヨーロッパのエネルギー資源の割り当てとリソースを調整するヨーロッパのエネルギーセクター組織に属していました。組織の役割を考えると、この攻撃は特に興味があり、特にエネルギー部門のICSソフトウェアへのイラン関連の侵入の増加を考慮すると.

Cyber​​Xの産業用サイバーセキュリティ担当バイスプレジデントであるフィルネレイは、次のようにコメントしています。同時に、複数のリモート変電所ではなく単一の中央送信所を攻撃する戦略的価値に似ています。ロシアの攻撃者は、2015年の攻撃と比較して、2016年のウクライナのグリッド攻撃でそうでした。」

攻撃者の目的

研究者は、エネルギー部門のヨーロッパ企業に対するこの最新のハッキングキャンペーンは偵察ミッションであったと信じています。ミッションは、エネルギープラントのプロセスとその産業用制御システム(ICS)に関する重要な知識を収集することを目的とすると考えられています。攻撃者はまた、企業のプロセスと重要なインフラストラクチャの弱点を特定することも目指しています.

Recorded Futureの戦略的脅威開発ディレクター、プリシラモリウチは次のように説明しています。リソース。」

これらのハッキンググループを後援している疑いのあるイランのような国では、そのような知識は紛争の際に敵に対して使用することができます。この情報は、サイバー攻撃を仕掛け、電力、水、交通などの敵の主要セクターを麻痺させるために使用できます.

これを念頭に置いて、ハッキングキャンペーンの日付に注目するのは興味深いことです。これらは、ハッキングキャンペーンがイランのカセムソレイマニ将軍の殺害によって引き起こされた地政学的緊張の前に始まったことを示しています。したがって、このサイバー攻撃はソレイマニ暗殺に対する報復攻撃ではなかったはずです。.

重要なインフラストラクチャへの以前の攻撃

近年、ICSシステムや重要なインフラストラクチャへの攻撃が増加しています。これは、比較的簡単なターゲットであるためです。.

ICSシステムと鉄道や発電所などの重要なインフラストラクチャの主な問題は、ほとんどがサイバーセキュリティが検討される前に構築されたことです。これらの多くにはセキュリティシステムがなく、一部のICSシステムにはまだありません。その後、セキュリティシステムを後付けしたときに、穴が残っている場所を知るのは必ずしも容易ではありません。実際、たとえば、多くのICSシステムは脆弱性でいっぱいです.

重要なインフラストラクチャに対する最も有名な攻撃は、マルウェアStuxnetを使用して2012年に行われました。 Stuxnetは、特にプログラマブルロジックコントローラー(PLC)を対象とするコンピューターワームです。これらにより、産業プロセスおよび機械を制御するプロセスの自動化が可能になります.

研究者たちは、Stuxnetがアメリカとイスラエルの諜報機関によって開発され、イランの原子力精製所を攻撃するために使用されたと信じています。それは知能を収集し、ウランを濃縮するために使用された数千の遠心分離機を破壊.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me