「ファイアセール」サイバー攻撃がウクライナ全土の産業界を襲う

こんにちは！あなたは私を知らないかもしれませんが、簡単に言えば、私は25年以上にわたりサイバーフォレンジック、調査、セキュリティ意識を専門としてきました。数週間前、ある顧客のためにフォレンジック分析を行うよう依頼されました（彼らは奇妙なシステムの動作や反応についての謎について話していました）。 両チームとのさらなる分析の結果、Active Directoryを使用してネットワーク内に非常に迅速に広がる感染が見られ、我々はこれが標的型攻撃であると仮定しました。我々が知らなかったのは、2007年にダイ・ハード4.0の映画で架空のものかクールなスクリプトだと思われていたフェーズ1が、現実になったことでした（こんなことは作り出せません…）。それを ファイヤーセールと呼んでいましたが、これは国全体を対象としたサイバー攻撃であり（ハイブリッド戦争やサイバー戦争にこんにちは）、最終的には全てのコンピュータ制御の崩壊を引き起こし、経済の崩壊やその他の悪い結果（全産業を叩き壊すような…）をもたらしました。そのような攻撃を実行することはどのくらい現実的なのでしょうか？まあ、産業のアンチマルウェアリーダーの一人、ユージン・カスペルスキーが 未来を予見していたかもしれません 約1.5年前に。しかし、事実に戻りますと、一つのメディア産業のセキュリティアナリストが、私と共にボードに参加しているもう一つの会社と共に電話会議を設定したのは、通常の日曜日でした。ミッドサンデーに作業していたことに驚いたわけではなく（私もそうなので聞かないでください）、むしろ非常に興味深く恐ろしい事実でした：メディア産業全体とテレビチャンネルが、コンピュータ操作を中断させ、非常に予測不能に振る舞った未知のサイバー攻撃を受けていると同時に報告していました。この攻撃は10月25日の日曜日に^th、ちょうどウクライナで州全体の選挙が行われている最中に始まりました（偶然でしょうか？）。いくつかのハクティヴィストグループが攻撃に対する功績を主張しようとしましたが、具体的な関与者を特定するための十分な（決定的な）証拠はありません – これを「特別なサービス」や政治家に委ねて解決してもらいます。

前述の通り、この攻撃は企業インフラに対する秘密の多段階感染であり、次々と標的を襲い、コンピュータを再起動させ、起動不能にしました。この段階で明らかだったのは、我々が政治的な動機を持つ標的型サイバー攻撃に直面している可能性があることと、一産業の中断を目指していることです。しかし、調査はこの仮説に挑む多数の詳細を明らかにしました…

攻撃の症状と初期印象

私たちが協力している3文字の機関と共に公式結果の検証を待っている間、dedicated forensics & security malware reverse engineersと地域のCERTによる完全な公開を行います、私は現場から見た状況を共有します。

標的は、バージョンや機能に依存せず、Active Directory ドメイン コントロール、デスクトップ、ビデオ編集ワークステーション、会計用コンピュータなど、複数のMicrosoft Windowsプラットフォームでした。

感染した資産の典型的な観察可能な動作は、オペレーティングシステムの予期しないシャットダウンでした。これにより、システムは起動不能となり、MBRが欠落していました（理由が気になります…）。2番目の症状はシステムパーティションの100%の埋まりでした。これによりシステムが異常に動作するようになり、Microsoftの推奨によると、「システム管理者に連絡する」ように指示されます。内部のセキュリティチームの観点からは、明確な理由や関係なく、ランダムなWindowsマシンが完全にクラッシュするかのように見えました。3つ目であり重要性が劣らない症状は、同業のすべての同僚が互いに連絡を取り合い、最初の2つの症状を報告していたことです。

この時点で私にとって明らかないくつかのことは:

• それは、実際に始動された日付に合わせて周到に計画され、精巧に編成された標的型攻撃でした。
• これは0-dayの脆弱性の利用ではありません。この攻撃は多段階であり、社会工学や内部関与者を介したもの、または武器化、配信、指揮およびコントロールの多層的、モジュール的で同期されたシステムを含みます、Cyber Kill Chainモデルにこんにちは 😉
• 攻撃のタイミングはランダムではありません。それは、選挙メディア報道の妨害を目的として地元の州選挙の日に正確に起こり（これは実際には起こりませんでした）たのか、日付が主な攻撃目的をそらすためのカモフラージュとして使用された可能性があります。これはまた、国家規模での新しいサイバー兵器の能力の素晴らしい発表だったかもしれません。

私は同僚に備えるように勧め、疑問を後回しにし、2つのことに集中するように言いました: 付随的損害の軽減と最大限の証拠収集です。我々は可能な限り多くのものを手に入れようとしました: PCAP、スナップショット、スクリーンショット、ウィンドウズログ、SIEMおよびIPSアラート、メモリーダンプ、もちろんマルウェアサンプルもです。明らかに従来のアンチウイルスおよび他のアクティブディフェンスシステムは静かで、攻撃の最初の24時間内に「ololo.exe」というウイルスを入手し、VirusTotalにアップロードしましたが、このマルウェアを認識しているアンチウイルスは一つもありませんでした。マルウェアのリバース分析と初期調査の結果に続きます…

ウクライナ・ファイヤーセールの初期調査とマルウェアリバース分析の結果 >>