ロシア製とされるマルウェアがウクライナのエネルギー施設を停止させようとした。

PC Magazineは2022年04月12日に、ロシア製とされる「Industroyer2」と名付けられたマルウェアは2022年04月08日に、変電所のコンピュータ・システムの操作を開始する予定であった。しかし、ウクライナ政府はこの攻撃を阻止した。

ロシア政府は、産業用システムを制御することができるWindowsマルウェアでウクライナのエネルギー網を停止させようとした可能性がある。

22年04月12日火曜日に、アンチウイルス会社のESETは、ウクライナ政府と協力して、同国の無名のエネルギー供給会社に対するマルウェア攻撃を阻止したことを発表したと報告した。

https://time-az.com/main/detail/76642

「Industroyer2」と名付けられたこのマルウェアは、エネルギー供給会社のコンピュータで発見された。このマルウェアは、家庭や企業に電力を供給するための高圧電力を変換する変電所などの産業用機器と通信するために設計されたものであった。

ESETは、「Industroyer2」の仕組みを調査中だが、2022年04月8日午前6時10分(東部標準時)に悪意のあるプロセスを実行するようプログラムされており、エネルギー供給会社の電力を停止させようとした可能性が高いことが判明している。

また、ESETは、このマルウェアは、米国政府がクレムリンの軍事情報機関であるGRUのために働いていると疑っているロシアの国家支援ハッキンググループ「Sandworm」によるものであるとしている。証拠には、このマルウェアが、2016年にウクライナのエネルギー網を混乱させることに成功したオリジナルのマルウェア「Industroyer」と類似していることなどが挙げられる。

「我々は、新しい亜種が同じソースコードを使用して構築されたことを高い信頼性で評価します。」とESETは述べている。

新種「Industroyer2」がどのように拡散しているかは、依然として不明です。しかし、ウクライナ当局によると、エネルギー供給会社が最初に危険にさらされたのは、遅くともロシアがウクライナに侵攻したのと同じ月の2月だったといいます。このエネルギー供給会社のネットワークで見つかったマルウェア「Industroyer 2」のサンプルは、3月23日にコンパイルされており、ハッカーが2週間前に攻撃を計画していたことを示唆しています。

ESETは、このエネルギー供給事業者のネットワーク内で、他にもさまざまなマルウェアを発見している。この中には、コンピュータ上のデータを消去し、マシンが再び起動するのを防ぐことができるWindowsベースの別個のマルウェア、「CaddyWiper」の存在も含まれていた。

「私たちは、これ『CaddyWiper』が復旧プロセスを遅らせ、エネルギー会社のオペレーターがICS(Industrial Control System/産業制御システム)コンソールを再び制御できるようにすることを意図したものだと考えている。また、「Industroyer2」が実行されたマシン上に展開され、その痕跡を隠すためとも思われます。」とESETは付け加えている。

「CaddyWiper」は、ハッカーがエネルギー供給会社のグループポリシーオブジェクトをハイジャックした後に拡散された。この攻撃の間、ハッカーはエネルギー供給会社のネットワーク上に他のデータ消去マルウェアも展開したが、それらの系統はLinuxとSolarisベースのシステムをターゲットに設計されたものであった。

この事件は、ロシアがウクライナに侵攻して以来、ウクライナが経験した最新のサイバー攻撃となる。先月、衛星インターネット・プロバイダーのViasatも、データを消去するマルウェアの攻撃を受け、ウクライナとヨーロッパ全域のユーザーが戦争勃発時に大規模な停電に見舞われたことを確認した。

これは、あくまでもウクライナ側からの情報である。

ロシアには昔から、かなり強力なエンジニアがいることはわかっている。

彼らが、こんなドジをするか？というところもあり、それが真実なら、別の意図があるかもしれないと考えさせられる部分もある。