2015年12月23日、ウクライナ西部(イヴァーノ=フランキーウシク州)で電力供給会社がマルウェアに感染し、供給地域で停電が発生しました。ここでは関連情報をまとめます。まずはメモ書きレベルです。
ウクライナ語で記述された個所は翻訳サービスを通じて参照しているため不正確である可能性があります。
公式発表
piyokangoが被害報告を確認した電力供給会社は2社。公式な発表を確認できていないが報道では他1社の名前が出ている。*1
被害発表
電力供給会社 Kyivoblenergo の発表
電力供給会社 Prykarpattyaoblenergoの発表
До уваги споживачів ПАТ "Прикарпаттяобленерго"
Через збої у роботі телемеханіки значна частина області та м.... https://t.co/WetDwBggeU
— Прикарпаттяобленерго (@oe_if_ua) 2015, 12月 23
https://t.co/4ElJsH3lHh
Енергетики ліквідовують наслідки масштабної аварії на Прикарпатті
В... https://t.co/I1TCgr1nBX
— Прикарпаттяобленерго (@oe_if_ua) 2015, 12月 23
Область знову зі світлом!!
Енергетикам вдалося відновити електропостачання області!
Не вирішеною проблемою... https://t.co/ERnAWZC5en
— Прикарпаттяобленерго (@oe_if_ua) 2015, 12月 23
#СБУ попередила спробу російських спецслужб вивести з ладу об'єкти енергетики України https://t.co/Qn9Owd431j
— СБ України (@ServiceSsu) 2015, 12月 28
- ロシアセキュリティサービスの関与について言及。
タイムライン
日時 | 出来事 |
---|---|
2014年5月12日 | ウクライナ電力企業を狙った攻撃が確認され始める。 |
205年10月25日 | ウクライナの一部報道機Webサイトが不正アクセスを受ける。 |
2015年12月23日 夕方 | イヴァーノ=フランキーウシク州で停電が発生。 |
〃16時50分頃 | イヴァーノ=フランキーウシク中心市街等一部復旧。 |
〃16時54分 | Prykarpattyaoblenergoが停電事故の発生を発表 |
〃17時37分 | Prykarpattyaoblenergoが停電事故の原因を発表 |
〃18時56分 | Kyivoblenergoの停電が復旧 |
2015年12月24日 | Kyivoblenergoが停電事故のお詫びを掲載 |
〃 | ウクライナ現地メディアTSNが停電の原因がサイバー攻撃であったと報道。 |
2015年12月28日 | ウクライナ保安庁が停電事案に対する声明を発表 |
日時は現地時間にて記載。
被害状況
被害発生地域
- イヴァーノ=フランキーウシク州(カルパティア地方など)
Prykarpattyaoblenergoによると次の地域に停電の影響が及んだと報告。
Ivano-Rrankisvk中心市街他の発生当時の様子。信号機が停止している様子。発生から30分後復旧した模様。
- Франківськ на півгодини залишився без світла (фото) StykNews.info,2016年1月7日アクセス (魚拓)
影響範囲は本当に「約140万世帯」なのか
次の記事で停電の影響を受けた人数が「約140万世帯」と表現されている。
Wikipedia等によると、今回停電の影響を受けたイヴァーノ=フランキーウシク州の人口は「約140万人」となっている。
市町村 | 人口(Wikipediaより) |
---|---|
Ivano-Frankivsk(州全体) | 1,388,000人(2006年) |
Ivano-Frankivsk | 204,200人(2004年) |
Kalush | 63,800人(2006年) |
Kolomyia | 61,428人(2013年) |
Dolyna | 20,900人(N/A) |
Halych | 6,290人(2013年) |
具体的な被害数を報告しているのはKyivoblenergoのみであり、他は二次情報、あるいは人口統計からの推計にとどまっているように考えられる。
なお、WIREDでは「140万人ともされる多くの住民」といった表現が行われていた。
被害状況 (Kyivoblenergo)
- 同社機器、および変電所の情報技術システムが不正アクセスを受け、110万ボルト級変電所7か所、35万ボルト級変電所23か所が切断された。
- 約8万人の顧客へ約3.5時間の停電による影響が及んだ。
ICS-CERTの調査結果
- 約22万5千人の顧客に影響が及んだ。
- それぞれの電力会社で起きた障害は30分以内に発生していた。
- VPN接続を介して電力会社のICSへアクセスが行われていた。
- 一連の攻撃にBlackEnegryが初期のアクセス手段として用いられたかどうかは定かではない。
攻撃に使用されたマルウェアに関係する情報
マルウェアの種類
種類 | 概要 |
---|---|
BlackEnergy | F-secureが2014年に公開したレポートが詳しい ([PDF] BLACKENERGY & QUEDAGH) |
KillDisk | システム破壊ツール |
SSHBearDoor(dropbear) | SSHサーバー |
reDuh | 内部ネットワークへアクセスするためのプロキシツール |
weevely3 | Webshellを用いたバックドア |
DESFix | セキュリティバイパスツール(無署名ドライバの読み込み) |
Gcat | バックドア |
KillDiskの検体サンプル
SHA256 | ファイル名 |
---|---|
5d2b1abc7c35de73375dd54a4ec5f0b060ca80a1831dac46ad411b4fe4eac4c6 | ololo.exe crab.exe |
c7536ab90621311b526aefd56003ef8e1166168f038307ae960346ce8f75203d | tsk.exe |
f52869474834be5a6b5df7f8f0c46cbc7e9b22fa5cb30bee0f363ec6eb056b95 | svchost.exe |
Gcatの検体サンプル
SHA256 | ファイル名 |
---|---|
54517e2a85509bc7109b7befd7151a058c1b0cc90d38d19dad189f308fc9f3c7 | - |
KillDiskだけで停電は起こせたのか
Symantecは次の説明の通り、KillDiskによるSCADAシステムへの攻撃の可能性について言及している。
理論上は、標的がレガシーの SCADA システムとの通信にこのソフトウェアを使っていることを攻撃者が察知すれば、sec_service サービスとそこでの通信を停止して、標的の環境に損害を与えられることになります。
http://www.symantec.com/connect/ja/blogs/disakil
SANSではKillDiskによる攻撃は可能ではあったものの、このマルウェアから電力システムの機能停止は引き起こされていなかったと指摘。
Malware likely enabled the attack, there was an intentional attack, but the 'KillDisk' component itself did not cause the outage.
http://ics.sans.org/blog/2016/01/09/confirmation-of-a-coordinated-attack-on-the-ukrainian-power-grid
攻撃方法
cys-centrumにより、メールに添付したファイルを通じてマルウェアに感染させる手口がとられていたと説明されている。
送信確認時期 | 対象 | BlackEnergy |
---|---|---|
2014年5月12日 | ウクライナの電力企業など | BlackEnergy 3 |
2014年8月13日 | ウクライナ国関連組織や大学等 | BlackEnergy 2、3 |
2015年3月末 | ウクライナ西部電力企業 | BlackEnergy 2、3 |
2015年10月25日 | 報道関係 | BlackEnergy 2、3 |
2015年10月の攻撃はウクライナの地方選挙に関係して報道関係へ行われたと推測されており、CERT-UAも攻撃に関する詳細報告をしている。
侵入に用いられた手法
スピアフィッシングを通じて相手の油断を誘い、次のマルウェアを添付することで受信した人間の環境を掌握しようとしていた模様。
- 当時ゼロデイのMicrosoft Officeの脆弱性 (CVE-2014-4114)
- Microsoft Officeのマクロ機能の悪用
- JARファイル(Java)の読込
なお、CVE-2014-4114の脆弱性については当時ここにまとめている。
攻撃グループに関する情報
電話オペレーターへのDoS攻撃
- コールセンターへの大量に架電する事象が発生。
- 問い合わせによる発覚を遅延させることを目的とした可能性。
更新履歴
- 2016年1月7日 AM 新規作成
*1:ПАТ «Прикарпаттяобленерго» ліквідовує наслідки хакерської атаки,briz.if.ua,,2016年1月7日アクセス:魚拓