このページの本文へ

McAfee Blog

強くなったトロイの木馬、ウクライナ電力システムへの攻撃の裏側

2016年01月22日 14時30分更新

文● McAfee

  • この記事をはてなブックマークに追加
  • 本文印刷

12月下旬、ウクライナではサイバー攻撃とともに停電が起こり、何十万もの市民が何時間も暗闇の中過ごすことになりました。まもなく、サイバー脅威の研究者たちは、2007年に最初に作られたBlackEnergyというマルウェアパッケージが原因の可能性があることを確認しました。また、このマルウェアは、最初のリリースから大幅にアップグレードされていることも明らかにしました。

初代のBlackEnergyは、DDoS攻撃(分散型サービス拒否)の機能を備えたシンプルなトロイの木馬でしたが、その後、2回のアップグレードを経ています。

BlackEnergy 2

2010年、BlackEnergy 2が登場しました。この開発サイクルのなかで、コードはすっかり書き換えられて、より洗練された手法が取り入れられました。例えば、BlackEnergyがさらに使いやすくなるように、基本的なインストーラーが組み込まれました。

BlackEnergy 2の評判の高まりを受けて、このマルウェアの作成者は、機能を付け加えて、さらに機能ごとに分離されたモジュラー形式のフレームワークをBlackEnergyに組み込む必要があると判断しました。2011年には、UAC(User Account Control:ユーザーアクセス制御)をバイパスするインストーラーが追加されました。これにより、新しいバージョンのWindowsでも旧来のアプリケーションが使えるようにMicrosoftが提供しているフレームワークを用いて、BlackEnergy 2が昇格したコード実行権限を獲得することが可能になりました。2013年には、BlackEnergy 2の最も注目すべき機能のひとつである、64ビットドライバーがサポートされました。

BlackEnergy 3

2014年の第2四半期には、F-Secure社によって、BlackEnergyの新たな亜種が初めて報告されました。この亜種では、BlackEnergy 2の機能の多くがすでに使われなくなっています。

メジャーリリースのたびに、BlackEnergyのコードがほぼすべて書き換えられていることが確認されています。BlackEnergy 3では、先行バージョンよりもさらに高度な機能が組み込まれており、より巧妙に作られています。この新しいバージョンには、ドライバが組み込まれておらず、ビルド番号のフォーマットはタイムスタンプであり、高度な保護の仕組みを数多く備えています。これらの内部保護機能には、仮想環境、アンチデバッグ機能、コード全体の継続的なチェックに対する防衛策を備えており、他のセキュリティ機能や対策を検出した場合にはプログラムを消去します。BlackEnergy 3の際立っている点は、組み込まれているプラグインが豊富であることです。

BlackEnergy 3のプラグイン*:

fs.dll — ファイルシステム操作
si.dll — システム情報取得 "BlackEnergy Lite"
jn.dll — 寄生する感染機能付マルウェア
ki.dll — キーロガー
ps.dll — パスワード盗聴
ss.dll — スクリーンショット
vs.dll — ネットワーク検出、リモート実行
tv.dll — チームビューワー(遠隔操作ツール)
rd.dll — シンプルな偽物の "リモートデスクトップ"
up.dll — マルウェアのアップデート
dc.dll — Windowsアカウントの一覧表示
bs.dll — システムハードウェア、BIOS、Windows情報の照会
dstr.dll — システムの破壊
scan.dll — ネットワークスキャン
これらのプラグインは、クライムウェアや国家の支援を受けた実行犯にとってBlackEnergy 3が、「主力」のツールとなる重要かつ強力な機能です。

ウクライナの主要インフラに対する攻撃は、当初は国家が関与していると見られていました。実際、BlackEnergy 3の利用は、供給の停止を目的とした手動による標的型の攻撃の代役を十分に果たしたと言えます。しかしながら、現時点のこの分析において、あるグループや実行犯による攻撃であると断定するのは、時機尚早です。

BlackEnergy 3の機能性を考えれば、BlackEnergy 3が国家の支援を受けたグループによって使用されたのは明らかと言えます。なぜなら、こうした実行犯たちは、BlackEnergyの亜種の利用で知られている他のクライムウェアのグループに紛れ込めるからです。スパイ活動に必要なノウハウは、多くの場合共有されるため、実行犯の多くは、実際の所属やスポンサーを隠すために他の実行犯のふりをしようとします。

これは、2010年に最初に注目を浴びた、Stuxnetとは全く対照的です。サイバー脅威研究者がStuxnetのコードを調査したところ、このコードの作成者には特定の環境で実行するために固有のドメインの知識が必要であり、こうした悪意のあるコードを作成する見識と能力があるのはおそらく国家の支援を受けたグループのみであることが判明しています。

この記事の最後に、2015年のBlackEnergyに関連するMD5ハッシュ値をすべて掲載しています。Intel Securityの製品は、記載されているすべてのハッシュ値に完全に対処しています。

こうした攻撃で使用されている悪意のあるバイナリには、偽のMicrosoftのデジタル証明書が含まれているものもあります。コードサイニングのプロセスは、ソフトウェアの作成者を認証して、署名後にこのコードが改ざんまたは破壊されていないことを保証するために利用されています。コードサイニングのプロセスの偽造は、このシステムの信用を低下させており、より高いレベルで敵対者が関与していることを示しています。こうした手口は、多くの実行犯や高度な脅攻撃者のグループによって用いられてきましたが、この攻撃が特定のグループや実行犯の仕業であるとは、まだ断定できません。

この分析を進めるにあたって、Intel SecurityのAdvanced Programs Groupから受けたサポートに感謝します。

2015年のBlackEnergy 3に関連するMD5のハッシュ:

ウクライナの攻撃に関与しているとされるバイナリ:
c2fb8a309aef65e46323d6710ccdd6ca
2cae5e949f1208d13150a9d492a706c1
ed55997aada076dc61e20e1d1218925a
60d3185aff17084297a2c4c2efdabdc9
7361b64ddca90a1a1de43185bd509b64
97d6d1b36171bc3eafdd0dc07e7a4d2d
72bd40cd60769baffd412b84acc03372
97b41d4b8d05a1e165ac4cc2a8ac6f39
979413f9916e8462e960a4eb794824fc
956246139f93a83f134a39cd55512f6d
d98f4fc6d8bb506b27d37b89f7ce89d0
66676deaa9dfe98f8497392064aefbab
8a40172ed289486c64cc684c3652e031
cd1aa880f30f9b8bb6cf4d4f9e41ddf4
0af5b1e8eaf5ee4bd05227bf53050770
1d6d926f9287b4e4cb5bfc271a164f51
e60854c96fab23f2c857dd6eb745961c

他のBlackEnergyのバイナリ:

97b7577d13cf5e3bf39cbe6d3f0a7732
18e7885eab07ebfb6d1c9303b992ca21
66b96dcef158833027fcf222004b64d8
03e9477f8da8f6f61b03a01d5a38918f
0d2022d6148f521c43b9573cd79ead54
1e439a13df4b7603f5eb7a975235065e
a0b7b80c3c1d9c1c432a740fa17c6126
dcf6906a9a0c970bcd93f451b9b7932a
973e0c922eb07aad530d8a1de19c7755
557f8d4c6f8b386c32001def807dc715
fffeaba10fd83c59c28f025c99d063f8
0037b485aa6938ba2ead234e211425bb
abeab18ebae2c3e445699d256d5f5fb1

BlackEnergy 3のIPアドレス:

109.236.88.12
124.217.253.10
146.0.74.7
184.22.205.194
188.128.123.52
188.227.176.74
188.40.8.72
194.28.172.58
212.124.110.62
212.175.109.10
31.210.111.154
37.220.34.56
46.165.222.101
46.165.222.28
46.165.222.6
46.4.28.218
5.149.254.114
5.255.87.39
5.61.38.31
5.79.80.166
5.9.32.230
78.46.40.239
84.19.161.123
85.17.94.134
88.198.25.92
89.149.223.205
93.170.127.100
94.185.85.122
95.143.193.182
95.211.122.36

* 2014年9月に開催された、第24回Virus Bulletin International Conferenceでのロバート・リポヴスキー(Robert Lipovsky)氏とアントン・チェレパノフ(Anton Cherepanov)氏によるプレゼンテーション "Back in BlackEnergy"

※本ページの内容は2016年1月14日更新のMcAfee Blogの抄訳です。

カテゴリートップへ