米財務省がマルウェアTRITONを開発したロシアの研究機関を制裁

米財務省がマルウェアを開発したロシアの研究機関を制裁

2020・10・26　

米財務省がマルウェアを開発したロシアの研究機関を制裁米財務省は、産業用機器を攻撃するマルウェアを開発したとして、ロシアの国営研究機関に対して制裁を課すと発表した。

japan.zdnet.com

　米財務省は米国時間10月23日、産業用機器を攻撃するよう設計されたマルウェアの系統である「TRITON」の開発に関与したとして、ロシアの研究機関に制裁を課すと発表した。

　この日制裁が課されたのは、ロシアの国営研究機関State Research Center of the Russian Federation FGUP Central Scientific Research Institute of Chemistry and Mechanics（CNIIHMまたはTsNIIKhMとも呼ばれる）だ。

　FireEyeは2018年10月に公開したレポートで、TRITONの開発した可能性がある組織としてCNIIHMを挙げていた。

　TRITON（「Trisis」または「HatMan」とも呼ばれる）は、特定の種類の産業用制御システム（ICS）を搭載した機器をターゲットとして設計されたマルウェアだ。具体的には、「Schneider Electric Triconex Safety Instrumented System」（SIS）のコントローラーが標的となっている。

　FireEye、Dragos、Symantecのレポートによれば、このマルウェアはフィッシングキャンペーンによって配布された。ワークステーションがTRITONに感染すると、被害組織のネットワーク上に存在するSISのコントローラーを探し、コントローラーの設定を変更しようと試みる。

　研究者によれば、TRITONには、生産プロセスを停止させたり、SISによって制御されている機器を安全ではない状態で動作させ、爆発するリスクや人間のオペレーターの命が失われるリスクを発生させたりする可能性がある命令が含まれていたという。

サウジアラビアの石油化学プラントではもう少しで爆発

　このマルウェアは、2017年にサウジアラビアの民間企業であるTasneeが所有する、サウジアラビア国内の石油化学プラントへの侵入に使用されたことで発見された。このインシデントでは、もう少しで爆発が起きるところだった。

　それ以降、他の企業に対してもこのマルウェアが使用されている。また米財務省は、プレスリリースの中で、TRITONを作成したグループ（TEMP.VelesまたはXenotimeと呼ばれている）は「米国の20の電力会社に対して、脆弱性を発見するためのスキャンやプローブを行っている」と述べている。

　今回の制裁は、米国の事業体がCNIIHMと取引を行うことを禁じ、米国内に存在するCNIIHMの資産を差し押さえるというものだ。

　ただし、発表後に何人かのセキュリティ研究者がTwitterで指摘しているように、米国は必ずしも道徳的に優れた立場にあるわけではない。産業用システムに対する攻撃の草分けは米国で、「Stuxnet」と名付けられたマルウェアを使って、2010年にイランの核開発プログラムに対して攻撃を仕掛けたことが明らかになっている。

ロシアのハッカー集団が米行政機関にサイバー攻撃--FBIとCISAが発表

2020・10・26　

ロシアのハッカー集団が米行政機関にサイバー攻撃--FBIとCISAが発表FBIとCISAの共同声明によると、ロシア政府の支援を受けたハッカー集団が数十の州政府や地方自治体のシステムを攻撃し、少なくとも2台のサーバーからデータを盗み出したという。

japan.zdnet.com

　米連邦捜査局（FBI）と米サイバーセキュリティ・インフラストラクチャーセキュリティ庁（CISA）の諜報専門家チームは、米国時間10月22日の共同声明で、ロシア政府の支援を受けたハッカー集団が数十の州政府や地方自治体のコンピューターネットワークを標的にし、その一部は侵入に成功したことを明らかにした。ハッカーらは少なくとも2台のサーバーからデータを盗み出したという。

　「Energetic Bear」など複数の名称で知られ、ロシア政府と関わりがあるとされるハッカー集団は、政府の管理者アカウントにログインして、機密システムの中を探り回ったという。窃取されたデータの中には、追加のパスワードや、各行政機関が多要素認証やパスワードリセットの要求などのセキュリティ機能をどのように利用しているかに関する情報が含まれていた。

　声明では、選挙支援システムへの不正アクセスがあったことが明らかにしつつも、「CISAはこれまで、選挙データの完全性が損なわれた痕跡を確認していない」としている。

　この声明が公開される前日の10月21日、米国家情報長官のJohn Ratcliffe氏とFBI長官のChristopher Wray氏は、ロシアとイランが米大統領選を妨害しようとしたと記者会見で発表した。Ratcliffe氏は、Donald Trump大統領に投票するよう脅迫するメールが有権者に送信されていたと語り、そのメールはイランの関与によるものだとした。メールの送信先は全て一般公開されている情報から取得できるもので、選挙システムが侵害されたことを示すわけではない。

　22日のThe New York Timesの報道によると、諜報関係者らはロシアの攻撃が洗練され、深刻化していると考えているという。