OT環境の侵害に特化したマルウェアが登場 ウイルス対策ソフトでは検知不可Cybersecurity Dive

DragosはOTシステムの侵害に特化したマルウェア「FrostyGoop」を観測した。FrostyGoopはウクライナのエネルギー供給業者に対して実行された2024年1月のサイバー攻撃に関連していたとみられる。

» 2024年08月10日 08時00分 公開
[David JonesCybersecurity Dive]

この記事は会員限定です。会員登録すると全てご覧いただけます。

Cybersecurity Dive

 サイバーセキュリティ事業を営むDragosの研究者は、2024年7月23日(現地時間、以下同)に発表したレポートの中で(注1)、OTシステムに特化した新たなマルウェアが、伝送制御プロトコル「Modbus」における通信を使用してOT環境を攻撃していると警告した。

 同社は、Modbusについて「世界中のあらゆる産業部門や組織における標準的なICSプロトコルである」と述べている。

OT環境の侵害に特化したマルウェアが登場 ウイルス対策ソフトでは検知不可

 Dragosの研究者は、「FrostyGoop」と名付けられたこのマルウェアのバイナリを2024年4月に発見した。同社によると、Modbusは世界中の4万6000以上のシステムで使用されている。このマルウェアは世界中のOTシステムに潜在的なリスクを広くもたらしている。

 研究者らは、2024年1月に起きたウクライナのリヴィウのエネルギー企業へのサイバ―攻撃でこのマルウェアが使用され、市内の600棟以上のアパートにおける暖房供給を妨害したとしている。Dragosは「攻撃者は2023年4月に、Mikrotikのルーターの脆弱(ぜいじゃく)性を悪用してWebシェルを展開し、後にユーザー認証情報にアクセスすることで、市営の地域エネルギー企業のシステムに侵入した」と説明した。

 Dragosによると、FrostyGoopはOTシステムを標的とした史上9番目のマルウェアであり、OT環境を攻撃するためにModbusにおける通信を使用した最初のマルウェアだという。

 2022年に発見されたハッキングツール「Pipedream」は(注2)、Modbusをコンポーネントの一つとして使用している。Pipedreamは「Incontroller」としても知られている。

 FrostyGoopはプログラミング言語「Go」によって書かれており、ポート502を経由し、Modbus TCPを使用してOTシステムとやりとりする。

 レポートによると、ウクライナの攻撃において、ハッカーはModbusのコマンドをEncoコントローラーに送信し、システムの測定値を不正確なものとし、誤動作を引き起こした。

 このマルウェアは、OTシステムを防御する者に潜在的な危険をもたらす。アンチウイルスソフトは現在のところFrostyGoopを検出できず、このマルウェアは公衆インターネットに接続された標的を攻撃するために使用されている。Dragosによると、事前の侵害は必要ないという。

 Dragosのマグピー・グラハム氏(インテル能力技術ディレクター)は、2024年7月19日のメディア向けプレゼンテーションの中で「これらのデバイスは、誰もがインターネットで容易にアクセスできるものだ」と述べた。

© Industry Dive. All rights reserved.

注目のテーマ

あなたにおすすめの記事PR