piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

ウクライナで発生したサイバー攻撃による停電についてまとめてみた

2015年12月23日、ウクライナ西部(イヴァーノ=フランキーウシク州)で電力供給会社がマルウェアに感染し、供給地域で停電が発生しました。ここでは関連情報をまとめます。まずはメモ書きレベルです。
ウクライナ語で記述された個所は翻訳サービスを通じて参照しているため不正確である可能性があります。

公式発表

piyokangoが被害報告を確認した電力供給会社は2社。公式な発表を確認できていないが報道では他1社の名前が出ている。*1

被害発表

電力供給会社 Kyivoblenergo の発表

電力供給会社 Prykarpattyaoblenergoの発表

ウクライナ保安庁 SBU の発表

  • ロシアセキュリティサービスの関与について言及。

タイムライン

日時 出来事
2014年5月12日 ウクライナ電力企業を狙った攻撃が確認され始める。
205年10月25日 ウクライナの一部報道機Webサイトが不正アクセスを受ける。
2015年12月23日 夕方 イヴァーノ=フランキーウシク州で停電が発生。
〃16時50分頃 イヴァーノ=フランキーウシク中心市街等一部復旧。
〃16時54分 Prykarpattyaoblenergoが停電事故の発生を発表
〃17時37分 Prykarpattyaoblenergoが停電事故の原因を発表
〃18時56分 Kyivoblenergoの停電が復旧
2015年12月24日 Kyivoblenergoが停電事故のお詫びを掲載
ウクライナ現地メディアTSNが停電の原因がサイバー攻撃であったと報道。
2015年12月28日 ウクライナ保安庁が停電事案に対する声明を発表

日時は現地時間にて記載。

被害状況

被害発生地域

Prykarpattyaoblenergoによると次の地域に停電の影響が及んだと報告。

Ivano-Rrankisvk中心市街他の発生当時の様子。信号機が停止している様子。発生から30分後復旧した模様。

影響範囲は本当に「約140万世帯」なのか

次の記事で停電の影響を受けた人数が「約140万世帯」と表現されている。

Wikipedia等によると、今回停電の影響を受けたイヴァーノ=フランキーウシク州の人口は「約140万人」となっている。

市町村 人口(Wikipediaより)
Ivano-Frankivsk(州全体) 1,388,000人(2006年)
Ivano-Frankivsk 204,200人(2004年)
Kalush 63,800人(2006年)
Kolomyia 61,428人(2013年)
Dolyna 20,900人(N/A)
Halych 6,290人(2013年)

具体的な被害数を報告しているのはKyivoblenergoのみであり、他は二次情報、あるいは人口統計からの推計にとどまっているように考えられる。

なお、WIREDでは「140万人ともされる多くの住民」といった表現が行われていた。

被害状況 (Kyivoblenergo)
  • 同社機器、および変電所の情報技術システムが不正アクセスを受け、110万ボルト級変電所7か所、35万ボルト級変電所23か所が切断された。
  • 約8万人の顧客へ約3.5時間の停電による影響が及んだ。
ICS-CERTの調査結果
  • 約22万5千人の顧客に影響が及んだ。
  • それぞれの電力会社で起きた障害は30分以内に発生していた。
  • VPN接続を介して電力会社のICSへアクセスが行われていた。
  • 一連の攻撃にBlackEnegryが初期のアクセス手段として用いられたかどうかは定かではない。

攻撃に使用されたマルウェアに関係する情報

マルウェアの種類
種類 概要
BlackEnergy F-secureが2014年に公開したレポートが詳しい ([PDF] BLACKENERGY & QUEDAGH)
KillDisk システム破壊ツール
SSHBearDoor(dropbear) SSHサーバー
reDuh 内部ネットワークへアクセスするためのプロキシツール
weevely3 Webshellを用いたバックドア
DESFix セキュリティバイパスツール(無署名ドライバの読み込み)
Gcat バックドア
KillDiskの検体サンプル
SHA256 ファイル名
5d2b1abc7c35de73375dd54a4ec5f0b060ca80a1831dac46ad411b4fe4eac4c6 ololo.exe
crab.exe
c7536ab90621311b526aefd56003ef8e1166168f038307ae960346ce8f75203d tsk.exe
f52869474834be5a6b5df7f8f0c46cbc7e9b22fa5cb30bee0f363ec6eb056b95 svchost.exe
Gcatの検体サンプル
SHA256 ファイル名
54517e2a85509bc7109b7befd7151a058c1b0cc90d38d19dad189f308fc9f3c7 -
KillDiskだけで停電は起こせたのか

Symantecは次の説明の通り、KillDiskによるSCADAシステムへの攻撃の可能性について言及している。

理論上は、標的がレガシーの SCADA システムとの通信にこのソフトウェアを使っていることを攻撃者が察知すれば、sec_service サービスとそこでの通信を停止して、標的の環境に損害を与えられることになります。

http://www.symantec.com/connect/ja/blogs/disakil

SANSではKillDiskによる攻撃は可能ではあったものの、このマルウェアから電力システムの機能停止は引き起こされていなかったと指摘。

Malware likely enabled the attack, there was an intentional attack, but the 'KillDisk' component itself did not cause the outage.

http://ics.sans.org/blog/2016/01/09/confirmation-of-a-coordinated-attack-on-the-ukrainian-power-grid

攻撃方法

cys-centrumにより、メールに添付したファイルを通じてマルウェアに感染させる手口がとられていたと説明されている。

送信確認時期 対象 BlackEnergy
2014年5月12日 ウクライナの電力企業など BlackEnergy 3
2014年8月13日 ウクライナ国関連組織や大学等 BlackEnergy 2、3
2015年3月末 ウクライナ西部電力企業 BlackEnergy 2、3
2015年10月25日 報道関係 BlackEnergy 2、3

2015年10月の攻撃はウクライナの地方選挙に関係して報道関係へ行われたと推測されており、CERT-UAも攻撃に関する詳細報告をしている。

侵入に用いられた手法

スピアフィッシングを通じて相手の油断を誘い、次のマルウェアを添付することで受信した人間の環境を掌握しようとしていた模様。

なお、CVE-2014-4114の脆弱性については当時ここにまとめている。

攻撃グループに関する情報

  • ウクライナ保安庁は当該事案にロシアセキュリティサービスの関与があったと声明を発表している。
  • 複数のセキュリティベンダは「Sandworm」と呼称されるグループによるものとの見方を強めている。
Sandworm によるものとされる理由
電話オペレーターへのDoS攻撃
  • コールセンターへの大量に架電する事象が発生。
  • 問い合わせによる発覚を遅延させることを目的とした可能性。

更新履歴

  • 2016年1月7日 AM 新規作成