2022年2月24日、サイバー攻撃により、米国の通信会社Viasatが保有するウクライナの通信衛星KA-SATのモデムが使用不能となった。さらに攻撃の範囲が拡大し、ドイツのEnercon社の風力発電機5,800台が接続不可となり、遠隔地からの監視・制御不能となった。今回、この攻撃がデータ消去マルウェア「AcidRain」によるものであると確認した。データ消去マルウェアは、その名の通りデータを直接消去し、データ復旧の可能性をなくすことで、身代金の強要を主目的とするランサムウェアよりも不可逆的で被害組織へのダメージが大きいものだ。かつ、この報告書で分析したデータ消去マルウェア「AcidRain」は、ロシア・ウクライナ戦争中に出現したもので、明らかに戦争の破壊兵器と考えられ、その危険性と脅威は過小評価することはできない。
ロシア・ウクライナ戦争では、サイバー攻撃が多発し、電力不足、情報漏えい、ネットワーク環境の麻痺など、深刻な被害が発生したことも確認されている。これまでに6つのデータ消去の事例が確認され、このような破壊力の高いデータ消去マルウェアは、ロシア・ウクライナ戦争において情報システムを混乱させるために頻繁に使用されている。時間が経過し、多くの調査やフォレンジックレポートが公開されるにつれ、今後破壊力の高いデータ消去マルウェアに関連する分析が進むと予想される。 そのため、関係当局はロシアやウクライナ関連のサイバー攻撃手法の発展や動向に細心の注意を払うことが重要である。注目すべきは、この攻撃から、攻撃者がこの種の通信ネットワークシステムをどのように攻撃したかを見ることができるという点だ。通信インフラに対する攻撃の場合でも、まず従来のIT管理環境が攻撃され、さらにサプライチェーンを通じてマルウェアが仕掛けられ、MIPS命令セットを搭載した衛星ネットワーク・モデム・システムを麻痺させることが行われている。
「AcidRain」の存在を最初に把握したのは、アメリカのセキュリティ企業SentinelOneの研究チーム「SentinelLabs」である。 当初、研究者たちは、ドイツで5,800基の風力発電機が稼働しなくなったことをきっかけに、Viasat社のKA-SATルータに注目した。 当時、Viasat社からは技術的な指標や事故対応に関する報告などはなかった。そして、SentinelLabsの研究チームは、攻撃者がKA-SATの管理機構を使ってモデムやルータ用に設計したデータ消去マルウェアを埋め込み、サプライチェーン攻撃によって今回の被害をもたらしたという仮説を立て、検証を行った。
SentinelLabs社によってAcid Rainと名付けられたこのデータ消去マルウェアは、様々なストレージデバイスからファイルを抹消することができるMIPSのELFファイルである。 機能は比較的単純で、特定のディレクトリを除き、手当たり次第のファイルをターゲットにしている。これは、攻撃者がマルウェアを設計する際にターゲットとなるファームウェアの詳細を熟知していなかったか、あるいはそのツールを汎用的且つ再利用可能なものにしたかったからだと思われる。
このデータ消去ソフトは、二つの方法で削除処理を行った。一つ目は、最大0x40,000(262,144)バイトのデータを上書きする方法で、二つ目はIOCTLSコールの「MEMGETINFO」「MEMUNLOCK」「MEMERASE」「MEMWRITEOOB」を使う方法である。
一つ目の方法では、まずメモリ上の一連の4バイトの配列が初期化される。 配列の内容は、0xffffffffから始まり、インデックスごとにデクリメントされる。 その後、計算された配列の値でファームウェアファイルの内容を上書きする。
各種消去処理の結果ファームウェアファイルが破損され、消去処理の完了後デバイスは再起動される。その結果、システムは正常に起動することが不可能となる。
SentinelLabsの研究者は、今回新たに発見されたマルウェアに加えて、「VPNFilter」と呼ばれるマルウェアが、Quality Network Appliance Provider(QNAP)が販売するSOHOルータやストレージ機器を標的にしていたこと、このマルウェアの背後にいるハッカーグループがAPT28と特定されていることも明らかにした。 最も重要なことは、このマルウェアの拡張子の1つである「dstr」が「Acid Rain」と55%の類似性を持っていることだが、VirusTotalデータベースの他のサンプルにはそのような類似性は見られておらず断定することは難しい。
また、どちらのマルウェアもMIPSのELFファイルであり、共有するコードのほとんどは静的C標準ライブラリ(libc)のものと思われる。 コンパイラを共有している可能性も否定できない。このことは、両者が同じセクションヘッダー文字列テーブルを共有していることからもわかる。
いずれもIOCTLSの「MEMGETINFO」「MEMUNLOCK」「MEMERASE」を使用して、MTD(Memory Technology Device)ファイルを消去する。
データ消去マルウェアは破壊的な効果があることで知られており、このレポートで分析した「Acid Rain」は、二国間で物理的な戦争が起こった場合に戦争兵器として使用されると言える。 SentinelLabsの研究者は、このデータ消去マルウェアに対する対策をまだ提示していない。 関係当局は、このソフトウェアの調査・分析を早急に行うべきである。
SentinelLABS. "AcidRain | A Modem Wiper Rains Down on Europe" Accessed April 8, 2022.https://www.sentinelone.com/labs/acidrain-a-modem-wiper-rains-down-on-europe/
Writer: CyCraft
CyCraft(サイクラフト)は、AIによる自動化技術を専門とするサイバーセキュリティ企業。2017年に設立され、台湾に本社、日本とシンガポールに海外拠点を持つ。アジア太平洋地域の政府機関、警察・防衛機関、銀行、ハイテク製造業にサービスを提供している。CyCraft の AI技術 と機械学習技術によるソリューションが評価され、CID グループ とテマセク・ホールディングス旗下のパビリオンキャピタルから強力なサポートを獲得し、また、国際的トップ研究機構である Gartner、 IDC、Frost & Sullivan などから複数の項目において評価を受けている他、国内外の著名な賞をいくつも受賞している。また、国内外を含む複数のセキュリティコミュニティ、カンファレンスに参画し、長年にわたりセキュリティ業界の発展に尽力している。