ロシア・ウクライナ戦争は、物理的な戦場だけでなく、ネット空間の戦場でも、激しい戦いに発展している。今回、ウクライナの組織を標的にした破壊的なマルウェアがインターネット上で複数存在していることが、研究者によって確認された。 その中の1つである「HermeticWiper」は、通常のソフトウェアの機能を悪用し、LoLBin(Living Off the Land Binaries)のような一般的なハッキング手法と同様にディスクを上書きし、ホワイトリストやネットワーク攻撃シグネチャからの検出・防御が困難なものにするマルウェアだ。 「WhisperGate」と「HermeticWiper」は破壊的なマルウェアで、「HermeticRansom」は同じハッカーチームが開発し、ランサムウェア攻撃を装ったもののだが、その真の目的は金銭ではなく、国家に雇われた犯罪組織が真の目的を隠すために使用されているマルウェアではないかと示唆されている。
このような破壊的なサイバー攻撃は、組織の日常業務に直接影響を与え、ときには業務を停止させることさえある。そして、その後の修復にかかるコストや時間の損害は当然のことながら、ネット上のスパイ(=サイバースパイ)行為より大きな影響を組織に与えるのだ。 このことから、ウクライナと同じくサイバー戦争の最前線にある台湾は、これに関連する攻撃を警戒し、識別、保護、検出、対応、復旧の能力を向上させる必要があるのだ。
ロシアとウクライナの軍事衝突が勃発し、ネット空間でも攻撃活動が活発化した。 しかし、APT攻撃によく見られるサイバースパイ行為とは異なり、ロシア・ウクライナ戦争中に発生した破壊的な攻撃は、軍事衝突中の日常業務を妨害し、復旧不可能などの大きな損害を与えるために、相手国の主要組織を標的とすることが多かった。最近、マイクロソフトが「WhisperGate」を、セキュリティベンダーのESET社とSentinel社が「HermeticWiper」という2種類の破壊的マルウェアを発見し、さらに調査を行った結果、攻撃者は、マスターブートレコード(MBR)の消去、DeviceIoControl機能によるディスク内容の上書き、ディスクユーティリティソフトの悪用、プログラムの上書きなど異なるメカニズムで破壊的マルウェアを実行することが判明した。
米国連邦捜査局(FBI)とサイバーセキュリティー・インフラセキュリティー庁(CISA)は、ロシア・ウクライナ戦争中に使用されたウクライナの組織内のコンピュータシステムを破壊するための破壊的かつ悪質なソフトウェアプログラムについて共同警告を発表した。 その中でも、「WhisperGate」と「HermeticWiper」の2種類のマルウェアが特に指摘されていた。そして研究者は、2022年1月15日、「WhisperGate」がウクライナの組織を標的にしていることを発見し、その背後にある組織は「DEV-0586」であると仮定した。さらに 1月23日に、別の破壊的マルウェア「HermeticWiper」がウクライナの組織内コンピューターに展開され、システムを麻痺させていることがわかった。
以下は、「WhisperGate」と「HermeticWiper」のそれぞれの解析結果である。
WhisperGateは、実際には2段階のファイルを含んだマルウェアだ。 第一段階の「stage1.exe」は、主にImpacketツールによって監視・起動される。stage1.exeは、OSの起動を担うMBR(Master Boot Record)を直接上書きし、身代金要求メッセージを残す。 このマルウェアは、マスターブートレコードの破損により、システムの起動を不可能にする。第2段階の「stage2.exe」は、.DOCX, .PPTX, VMX.などの特定の拡張子のファイルをメインディレクトリから検索し、ファイルの破壊を行うプログラムである。
破壊的マルウェア HermeticWiperは、別のマルウェアである HermeticWizardを使用したアクターに関連がある。 HermeticWiperは、まずVSS(Volume Shadow Copy Service)を麻痺させ、次に¥¥.¥PhysicalDrive[drive_index]を介して物理ハードディスクデバイスをリストアップする。
物理的なハードディスク装置が見つかると、乱数生成関数が呼び出され、512バイトの乱数が生成される。 この生成された番号を使って、マスターブートレコード(MBR)の最初の512バイトが上書きされる。 さらに、HermeticWiperは、NTFS(New Technology File System)のマスターファイルテーブル(MFT)を解析し、MFT、$Bitmap、$LogFileなどの特定のファイルやレジストリキー(NTUSER*など)を含むファイルを検索して上書きする。
本レポートで分析したマルウェアについて、いくつかの予防措置を提示する。
A. 米国連邦捜査局(FBI)とサイバーセキュリティー・インフラセキュリティー庁(CISA)による共同レポートでは、ロシア・ウクライナ戦争時に使用された破壊的マルウェアの手法、技術、プログラム (Terrorist Tactics, Techniques, and Procedures, TTPs)を報告しており、企業が自社の情報セキュリティ状況を確認する際の参考にすべきと呼びかけている。
B. 本レポート末尾に記載したIoC情報を活用し、システム侵害の兆候を確認することができる。 これらのIoC情報は、エンドポイントやネットワークセキュリティ機器に入力し、ハンティングやブロックの設定を行うことも可能だ。
C. サイバー脅威インテリジェンスを活用することも有効だ。攻撃によく使用される手法を迅速に特定し、それに対する防御策を設定することに役立つ。
D. アプリケーション制御ソフトを導入し、ユーザーが実行できるアプリケーションを制限する。
E. 脆弱性の存在は、ハッカーにとって有利に働くことも多い。 システムベンダーから脆弱性のパッチがリリースされたら、すぐにOS、アプリケーション、ファームウェアなどにインストールする必要がある。
F. 多要素認証(MFA)を取り入れる。また、最小権限の原則を実施する。
G. MBR/VBRの上書きされないようにするため、各種セキュリティ製品を含む何らかのMBR/VBR保護機構を導入するか、MicrosoftのDefenderでControlled folder accessを有効にし、ホワイトリストに登録されたプログラムのみがMBR/VBRを含むクリティカルパスに書き込みできないようにする。
Writer: CyCraft
CyCraft(サイクラフト)は、AIによる自動化技術を専門とするサイバーセキュリティ企業。2017年に設立され、台湾に本社、日本とシンガポールに海外拠点を持つ。アジア太平洋地域の政府機関、警察・防衛機関、銀行、ハイテク製造業にサービスを提供している。CyCraft の AI技術 と機械学習技術によるソリューションが評価され、CID グループ とテマセク・ホールディングス旗下のパビリオンキャピタルから強力なサポートを獲得し、また、国際的トップ研究機構である Gartner、 IDC、Frost & Sullivan などから複数の項目において評価を受けている他、国内外の著名な賞をいくつも受賞している。また、国内外を含む複数のセキュリティコミュニティ、カンファレンスに参画し、長年にわたりセキュリティ業界の発展に尽力している。