Industroyer2 Malware

ウクライナの重要なインフラストラクチャサービスは、ロシアのウクライナ侵攻の前後にサイバー攻撃の標的にされてきました。サイバー犯罪者は、最新の標的の1つがウクライナのエネルギープロバイダーであり、さらに多くの攻撃作戦を開始しているようです。

脅迫的なキャンペーンは、被害者のICS（Industrial Control Systems）に損害を与えたり、混乱させたりする可能性のあるIndustroyer2と呼ばれる新しいマルウェアの展開を試みました。この操作は高電圧変電所を対象としており、その悪意のある目標を達成できなかったと報告されています。ウクライナのコンピュータ緊急対応チーム（CERT-UA）、マイクロソフト、およびサイバーセキュリティ会社のESETが攻撃を分析しています。これまでのところ、犯人の可能性が高いのはSandworm脅威グループであり、ロシアのGRU諜報機関からの命令の下で活動していると考えられています。

脅威の特徴

Industroyer2の脅威は、Industroyer（ CRASHOVERRIDE ）として知られるマルウェアの新しく改良されたバージョンのようです。 2016年12月に、元のIndustroyerは、短期間の停電を引き起こすことに成功したウクライナの変電所に対する攻撃の一部として配備されました。現在、Industroyer2の脅威は同様の方法で使用されています。これは、スケジュールされたタスクを介して4月8日に実行されることになっているWindows実行可能ファイルとしてターゲットシステムに展開されます。

Industroyer2は、ターゲットの産業機器と通信するために、IEC-104（IEC 60870-5-104）プロトコルを利用します。これは、変電所の保護リレーに影響を与える可能性があることを意味します。対照的に、古いIndustroyerの脅威は完全にモジュール化されており、いくつかのICSプロトコルのペイロードを展開できました。構成データに別の違いが見つかりました。元の脅威はこの情報を保存するために別のファイルを使用していましたが、Industroyer2の構成データは本体にハードコードされています。その結果、脅威の各サンプルは、選択した被害者の環境に合わせて特別に調整する必要があります。