破壊活動集団「BlackEnergy」が攻撃を拡大

2016年2月24日

スパイ行為だけではない

今日、企業を狙う標的型攻撃の大多数はサイバースパイ行為を意図しており、重要な企業秘密や個人情報を盗み出そうとしています。しかし中には、まったく別の目的を持つものもあります。たとえば業務妨害がその1つですが、この種の攻撃には特に警戒が必要です。というのも、企業のIT部門は主としてデータの消失や漏洩の対策に力を入れる傾向があり、さまざまなシステムが関与するビジネスプロセスがサイバー攻撃によって中断される事態に対して無防備だからです。とりわけ、汎用ネットワークを通じてアクセスできる(実に危険な設計上の欠陥です)ICS/SCADAをフル活用している企業が標的となった場合には、物理的な被害が生じる可能性もあります。

破壊活動のための集団

BlackEnergyは、破壊活動を好む標的型攻撃グループです。しばらく前から活動しているこのグループは、2000年代後半にBlackEnergyという名前のトロイの木馬を使用して大規模なDDoS攻撃を展開し、名を知られるようになりました。2014年以降、世界各地のICS/SCADAの導入企業や開発元に関心を示すようになったことで特に注目を集めています。同グループのツールや活動内容から、DDoSボットを操る平均的な犯罪者たちを大きく上回る高度なスキルを持っていること、またサイバースパイ行為や業務妨害の実行能力を備えていることが窺われます。

同グループは以前から、ウクライナの企業、特にICS/SCADA会社、エネルギー供給業者、報道機関を主な標的としてきました。世の中の流れにあえて逆らうかのように、最近の攻撃者の多くが好むJavaやAdobe Flashのエクスプロイトを利用するのではなく、Microsoft Officeファイルを使用して標的の防御線の内部に感染する方法を好みます。

同グループがおとりとして使う.docxファイルの代表的なものは、たとえば、ニュースでよく取り上げられる話題(ウクライナの「右派セクター」関連)に関する記述があり、見たところ特定の報道機関を標的としています。

ファイルにはマクロが埋め込まれており、そのマクロが典型的なBlackEnergyドロッパーを作成して実行します。このスクリプトがファイル内で実行するには、MS Wordでのマクロの実行が有効になっていなければなりません。そのため、受信者がファイルをクリックすると、「ファイルを開くにはマクロを有効にする必要がある」というMicrosoft Wordのダイアログが表示されます。このダイアログでは、マクロを有効にする口実として「ファイルがMS Officeの新しいバージョンで作成されたから」と説明されていますが、最新バージョンの導入率が低い地域で特に成功しやすい手口です。

2

マクロが実行されると、ドロッパーは最後のペイロードを解凍して起動し、ペイロードが自動的に実行する準備が整います。

ここに来て、主にダウンローダーの役割を担うメインモジュールが指令サーバーからのコマンドを受信し、対応する関連モジュールのダウンロードを開始します。これらのモジュールは、標的のインフラ内でデータを検索して抽出する、深刻な破壊行為を実行する、などの機能を備えています。

BlackEnergyが特によく利用する破壊手口は、大規模なデータ消去です。この犯罪者集団は、そのために以前のディスクレベルのモデルよりも格段に進化した消去ツールを新たに導入しました。このツールがあれば、管理者権限なしで各種データを選択的に消去することができます。

破壊活動には断固として「NO」を

BlackEnergyが使用するマルウェアは、標的のセキュリティシステムに対するテストが十分に行われているらしく、比較的高い割合で成功しています。したがって、企業が自社のITセキュリティ戦略を構築(または調整)する際には特に綿密に行う必要があります。

標準的なマルウェア対策製品を利用するだけでは、明らかに不十分です。業務に深刻な被害が生じるリスクを大幅に軽減するためには、多層型のシステムを導入する必要があります。オーストラリア通信電子局(ASD)発行のリスク軽減戦略リスト(英語記事)でも、複合的なアプローチが必要であると明記されています。複合的なアプローチとは、管理面、OS面、ネットワーク面での対策に加え、自社ITインフラの各階層に対応した特別な技術的対策を組み合わせたものになるでしょう。

そして当然ながら、BlackEnergyのような手強い攻撃者に対しては、実証済みのセキュリティインテリジェンスに裏打ちされた最先端の技術が不可欠です。参考までに、カスペルスキーの各種製品をご利用いただいた場合、ASDが推奨する35のリスク軽減戦略のうち19項目を満たすことが可能です。その大半は、豊富な機能を備えたKaspersky Endpoint Security for Business Advanced単体で対応できます。

Kaspersky Endpoint Security for Business Advancedには、先駆的な各種検知技術に加え、さまざまなレベルのセキュリティコントロール、脆弱性管理、パッチ管理といった追加のセキュリティ階層も用意されています。特に企業での利用に役立つのが、アプリケーションコントロールです(英語記事)。この機能は当社のクラウドベースのダイナミックホワイトリストを採用しており、「既定で拒否」が可能であるほか、作業環境を変更しなくても、信頼できないアプリケーション(マルウェアを含む)の起動をブロックすることができます。このようなホワイトリスト方式のコントロール機能は、脆弱性管理およびパッチ管理とともに、前述のリスク軽減戦略のうち上位4項目以内に位置していますが、この上位4項目で標的型攻撃に関連するインシデントの85%を防止できるとされています。

BlackEnergyがメールを利用したスピアフィッシングの手法を好むことを考えると、強力な防御層をもう1枚追加するオプションとして、Kaspersky Security for Linux Mail Serverの導入も一案です。また、受信した添付ファイルを開かないように指導するなどの社員教育も、BlackEnergyだけでなくさまざまな脅威への対抗手段となり得ます。当社では、サイバーセキュリティトレーニングのプログラムもご用意しています。

BlackEnergyの技術的詳細については、SecureListをご参照ください(英語記事)。

カスペルスキー製品は、以下の検知名でBlackEnergyのコンポーネントを検知・ブロックします。

  • Backdoor.Win32.Blakken
  • Backdoor.Win64.Blakken
  • Backdoor.Win32.Fonten
  • Heur:Trojan.Win32.Generic