【CODE BLUE 2023】ダニエル・カペルマン・ザフラ / Daniel Kapellmann Zafra

●Abstract

サイバーフィジカル攻撃能力のルネッサンス [ja]

The Renaissance of Cyber Physical Offensive Capabilities [en]

今回は、ジェネラルのカテゴリから「サイバーフィジカル攻撃能力のルネッサンス」のダニエル・カペルマン・ザフラ氏をご紹介します。

講師のザフラ氏は、Google Mandiantの分析マネージャーとして活躍。主にサイバー物理脅威インテリジェンスと情報操作をカバーしているとのこと。講演のテーマは、OT / ICSを標的とした新たなマルウェアに関する分析です。COSMICENERGYと名付けられたこのマルウェアは、電力供給停止を引き起こすことを目的に開発されており、背後には国家による支援の可能性も示唆されているといいます。
なお、この講演はジェネラルにカテゴリされており、技術的な話題にとどまらず、インテリジェンスにも踏み込んだ内容となっています。

●Bio

ダニエル・カペルマン・ザフラ [ja]

Daniel Kapellmann Zafra [en]

ｰｰｰｰｰｰｰｰｰ

●Interview

［Ja］インタビュー

Q1. 今回、カンファレンスで発表する研究を始めたきっかけを教えてください。

A1. 今年初め、Mandiantの脅威ハンターたちは、公開されているマルウェアスキャンユーティリティにアップロードされた新しい種類の運用技術（OT）/産業制御システム（ICS）マルウェアを特定しました。われわれはそれをCOSMICENERGYと呼んでいます。
われわれの分析によれば、このマルウェアは電力供給の停止を引き起こすように設計されていました。これにより、われわれはこのサンプルに関心を持ち、このツールが何であり、どこから来たのかをさらに調査しました。その結果、OT/ICSへの脅威の進化に関するユニークな洞察が明らかになりました。

Q2. 研究の過程でどのような点で苦労しましたか?

A2. 他のサイバー脅威インテリジェンス調査と同様に、新しい脅威活動を特定した際、その背景を理解するための断片を組み合わせるのは、常に困難がつきまといます。実際、ある時点では、マルウェアはおそらく「イン・ザ・ワイルド（インターネットに放たれる状態）」で展開するための脅威アクターによって開発されたツールであると考え、研究を公開する準備をしていました。
ところが、公表する数日前に、このツールは国家から資金提供を受けている可能性が高い、レッドチーム・リソースであることを示す証拠を突き止めたのです。これはツールに対する私たちの概念を完全に変え、新しい視点からの結果を再評価する必要がありました。

Q3. CODE BLUEの参加者、参加を検討している人に向けてメッセージをお願いします。

A3. 講演では、COSMICENERGYに関するわれわれの研究を共有するつもりです。これは、サイバーフィジカルな影響を引き起こす能力に特化したOTマルウェアの最新の事例です。これはほとんど発見されることもなく、また公開されることもありません。
このマルウェアのユニークな点は、われわれの分析によると、とある請負業者がレッドチームツールとして開発したもので、電力供給停止をシミュレートする演習を用途としており、おそらく国家が支援している可能性が高いということです。
これは、OTの脅威の状況に注目すべき進展をもたらし、OTを標的にした攻撃能力の開発への参入障壁が低くなっていることを示しています。

ｰｰｰｰｰｰｰｰｰ

［en］Interview

Q1. How did you initiate your journey into the topic that you are presenting?

A1. Earlier this year, threat hunters from Mandiant identified novel operational technology (OT) / industrial control systems (ICS) malware uploaded to a public malware scanning utility - we call it COSMICENERGY.
Our analysis indicated that the malware was designed to cause electric power disruption. This raised our interest in the sample and led us to further investigate what the tool was and where it came from. Our findings revealed unique insights on the evolution of threats to OT/ICS.

Q2. What were some challenges you faced during this research?

A2. Similarly to other cyber threat intelligence investigations, when we identify novel threat activity it is always challenging to put together the pieces to understand the context. In fact, at some point we were about to publish our research thinking that the malware was most likely a tool developed by a threat actor to deploy in the wild.
However, days before going out public, we identified evidence indicating the tool was most likely red teaming resources likely funded by a nation state. This changed entirely our conception of the tool and required us to reassess the findings from a new perspective.

Q3. What message would you like to convey to those considering attending this talk?

A3. During this talk, I will be sharing our research on COSMICENERGY, the latest example of specialized OT malware capable of causing cyber physical impacts, which are rarely discovered or disclosed.
What makes this malware unique is that based on our analysis, a contractor may have developed it as a red teaming tool for simulated power disruption exercises likely sponsored by a nation state.
This introduces notable developments to the OT threat landscape and illustrates how the barriers to entry are lowering for developing offensive capabilities to target OT.