ISC-CERT (米国)

• Alert (IR-ALERT-H-16-056-01) Cyber-Attack Against Ukrainian Critical Infrastructure

被害発表

電力供給会社 Kyivoblenergo の発表

• Шановні споживачі!

電力供給会社 Prykarpattyaoblenergoの発表

До уваги споживачів ПАТ "Прикарпаттяобленерго" Через збої у роботі телемеханіки значна частина області та м.... https://t.co/WetDwBggeU

— Прикарпаттяобленерго (@oe_if_ua) 2015, 12月 23

https://t.co/4ElJsH3lHh Енергетики ліквідовують наслідки масштабної аварії на Прикарпатті В... https://t.co/I1TCgr1nBX

— Прикарпаттяобленерго (@oe_if_ua) 2015, 12月 23

Область знову зі світлом!! Енергетикам вдалося відновити електропостачання області! Не вирішеною проблемою... https://t.co/ERnAWZC5en

— Прикарпаттяобленерго (@oe_if_ua) 2015, 12月 23

ウクライナ保安庁 SBU の発表

#СБУ попередила спробу російських спецслужб вивести з ладу об'єкти енергетики України https://t.co/Qn9Owd431j

— СБ України (@ServiceSsu) 2015, 12月 28

• ロシアセキュリティサービスの関与について言及。

被害発生地域

• イヴァーノ＝フランキーウシク州（カルパティア地方など）

Prykarpattyaoblenergoによると次の地域に停電の影響が及んだと報告。

• Ivano-Frankivsk
• Horodenka
• Kalush Raion
• Kosiv Raion
• Tysmenytsia
• Dolyna
• Nadvirna
• Yaremche

Ivano-Rrankisvk中心市街他の発生当時の様子。信号機が停止している様子。発生から30分後復旧した模様。

• Франківськ на півгодини залишився без світла (фото) StykNews.info,2016年1月7日アクセス (魚拓)

影響範囲は本当に「約140万世帯」なのか

次の記事で停電の影響を受けた人数が「約140万世帯」と表現されている。

• 電力会社へのサイバー攻撃で140万世帯が停電 (GIGAZINE)
• NYのダム、ウクライナの変電所...サイバー攻撃で狙われる制御システム (Newsweek)

Wikipedia等によると、今回停電の影響を受けたイヴァーノ＝フランキーウシク州の人口は「約140万人」となっている。

具体的な被害数を報告しているのはKyivoblenergoのみであり、他は二次情報、あるいは人口統計からの推計にとどまっているように考えられる。

なお、WIREDでは「140万人ともされる多くの住民」といった表現が行われていた。

• ウクライナの「ハッキングによる大規模停電」で強まる、サイバー戦争への懸念 (WIRED)

被害状況 (Kyivoblenergo)

• 同社機器、および変電所の情報技術システムが不正アクセスを受け、110万ボルト級変電所7か所、35万ボルト級変電所23か所が切断された。
• 約8万人の顧客へ約3.5時間の停電による影響が及んだ。

ICS-CERTの調査結果

• 約22万5千人の顧客に影響が及んだ。
• それぞれの電力会社で起きた障害は30分以内に発生していた。
• VPN接続を介して電力会社のICSへアクセスが行われていた。
• 一連の攻撃にBlackEnegryが初期のアクセス手段として用いられたかどうかは定かではない。

分析情報

• Cys Centrum
  • Конференция UISGCON11. Итоги по киберугрозам в Украине в 2015 году
  • Киберугроза BlackEnergy2/3. История атак на критическую ИТ инфраструктуру Украины
• Symantec
  • 破壊力の高いマルウェア Disakil、ウクライナの停電に利用される以前にも、メディア企業に対する攻撃に関与
• ESET
  • BlackEnergy trojan strikes again: Attacks Ukrainian electric power industry
  • 大規模停電を引き起こしたマルウェア「SSHBearDoor」を確認
• SANS ICS
  • Current Reporting on the Cyber Attack in Ukraine Resulting in Power Outage
  • Potential Sample of Malware from the Ukrainian Cyber Attack Uncovered
  • Confirmation of a Coordinated Attack on the Ukrainian Power Grid
• iSight Partners
  • Sandworm Team and the Ukrainian Power Authority Attacks
• KnownSec
  • [PDF] Malicious Code Analysis on Ukraine's Power Grid Incident
• TrendMicro
  • KillDisk and BlackEnergy Are Not Just Energy Sector Threats
  • [PDF] KillDisk and BlackEnergy Are Not Just Energy Sector Threats Appendix

マルウェアの種類

• OTX (AlienVault)
  • BlackEnergy Attacks
  • Updated BlackEnergy Trojan Grows More Powerful (McAfee)
  • BEB Ukranian CERT KILL Disk
  • Malicious Code Analysis on Ukraine's Power Grid Incident
  • BlackEnergy XLS Dropper
  • BlackEnergy by the SSHBearDoor

KillDiskの検体サンプル

Gcatの検体サンプル

KillDiskだけで停電は起こせたのか

Symantecは次の説明の通り、KillDiskによるSCADAシステムへの攻撃の可能性について言及している。

理論上は、標的がレガシーの SCADA システムとの通信にこのソフトウェアを使っていることを攻撃者が察知すれば、sec_service サービスとそこでの通信を停止して、標的の環境に損害を与えられることになります。

http://www.symantec.com/connect/ja/blogs/disakil

SANSではKillDiskによる攻撃は可能ではあったものの、このマルウェアから電力システムの機能停止は引き起こされていなかったと指摘。

Malware likely enabled the attack, there was an intentional attack, but the 'KillDisk' component itself did not cause the outage.

http://ics.sans.org/blog/2016/01/09/confirmation-of-a-coordinated-attack-on-the-ukrainian-power-grid

侵入に用いられた手法

スピアフィッシングを通じて相手の油断を誘い、次のマルウェアを添付することで受信した人間の環境を掌握しようとしていた模様。

• 当時ゼロデイのMicrosoft Officeの脆弱性 (CVE-2014-4114)
• Microsoft Officeのマクロ機能の悪用
• JARファイル(Java)の読込

なお、CVE-2014-4114の脆弱性については当時ここにまとめている。

• Windows OLEの脆弱性（CVE-2014-4114）関連情報をまとめてみた

Sandworm によるものとされる理由

• 同グループが使用するマルウェア「BlackEnergy」が使用されていたこと。
• ウクライナが攻撃対象であったこと。

電話オペレーターへのDoS攻撃

• コールセンターへの大量に架電する事象が発生。
• 問い合わせによる発覚を遅延させることを目的とした可能性。