産業用システム用マルウェア発見される 13
ストーリー by nagazou
おそろしや 部門より
おそろしや 部門より
米国の政府機関が共同で行った発表によると、産業用システムを乗っ取るためのマルウェア「Pipedream」が見つかったという。米国土安全保障省(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)、エネルギー省(DOE)が共同でサイバーセキュリティアドバイザリーを出している(米国土安全保障省、BleepingComputer、Dragos、GIGAZINE)。
発表によるとこのPipedreamは、業用制御システム(ICS)および監視制御およびデータ取得(SCADA)デバイスに対する完全なシステムアクセスを獲得する能力があるとしている。ターゲットとなっている具体的な製品名として、Schneider Electric製プログラマブルロジックコントローラー(PLC)やオムロン製のSysmac NEX PLCを利用した製品、Open Platform Communications Unified Architecture(OPC UA)サーバーなどの名前が出ている。これらの機器を利用した製品は液化天然ガス(LNG)の生産施設で利用されることが多いことから、PipedreamはLNGの生産施設を標的にしたものではないかと推測されている。
BleepingComputerの記事によると今回の「Pipedream」は、2017年に産業安全システムを無効にしようとした「TRITON(Trisis)」、2016年にウクライナで停電を引き起こしたマルウェア「Industroyer」、2010年頃にイランの核開発計画を妨害した「Stuxnet」に匹敵するものであると指摘している。
発表によるとこのPipedreamは、業用制御システム(ICS)および監視制御およびデータ取得(SCADA)デバイスに対する完全なシステムアクセスを獲得する能力があるとしている。ターゲットとなっている具体的な製品名として、Schneider Electric製プログラマブルロジックコントローラー(PLC)やオムロン製のSysmac NEX PLCを利用した製品、Open Platform Communications Unified Architecture(OPC UA)サーバーなどの名前が出ている。これらの機器を利用した製品は液化天然ガス(LNG)の生産施設で利用されることが多いことから、PipedreamはLNGの生産施設を標的にしたものではないかと推測されている。
BleepingComputerの記事によると今回の「Pipedream」は、2017年に産業安全システムを無効にしようとした「TRITON(Trisis)」、2016年にウクライナで停電を引き起こしたマルウェア「Industroyer」、2010年頃にイランの核開発計画を妨害した「Stuxnet」に匹敵するものであると指摘している。
Java関係かなぁ (スコア:2)
それ、LNG事例特記的な事例に見えないが (スコア:0)
他の産業でも幾らでも使われてんだろうに。
Re:それ、LNG事例特記的な事例に見えないが (スコア:1)
OPC UAなんてドイツのIndustry4.0での推奨通信プロトコルなので、ドイツを中心とした先進工場は軒並み引っかかるんじゃないかな。
日本はPLCが中心でメーカも強豪がひしめいていて独自プロトコルが蔓延っているから(OPC対応も進んではいるけど)、被害は少なそう。
勿論、OMRONのPLCもターゲットになっているから、安穏とはいきませんけどね。
ASRock製マザボ使用者は、踏み台にされないように! (スコア:0)
本件で、OPC UAは、デフォルトもしくは事前に漏洩しているクレデンシャルによる、いわばパスワードリスト攻撃を受けるところまで。
ここまでは真面目に設定しているか次第なわけですが、
シュナイダー製PLCを対象とした別攻撃で、クレデンシャルを盗むそうだから、それを組み合わされるとよろしくない感じ。
ここから一般人に関係ある話。
これらの攻撃の踏み台マシンにされるのは、市販ASRock製マザボ RGB LED用の署名済みドライバー(AsrDrv103.sys)の
脆弱性だと言う(CVE-2020-15368 [nist.gov])
この脆弱性はローカル環境からの特権昇格なので、水際でマルウェア侵入が防げていれば問題ないが、
一度でも侵入されたなら、今回の攻撃に悪用される可能性がある。
なお、このドライバーの別バージョン(AsrDrv101.sys、同102.sys)に
攻撃ルート次第な気も (スコア:0)
一般のインターネットから攻撃可能なのか
LANやイントラなど閉じたネットワーク内でのみ可能なのか
によるんじゃないかな
米国の産業用ってことはLANやイントラの範囲内に入り込むだけでも
結構な僻地となるケースもあるんじゃないかな
VPNやsshで入いる端末が乗っ取られていたら距離は関係ないだろうけど
# 仕掛けるために荒野を越えてとか割に合わなそう
Re: (スコア:0)
攻撃用ではなく、産業スパイがこっそり仕掛けて情報を収集させる目的でしょう。
Re: (スコア:0)
収集してもインターネットに繋がってないなら送信方法がないのでは…?
Re: (スコア:0)
産業スパイは現地にいるんですよ。
Re: (スコア:0)
産業スパイは現地にいるんですよ。
今北産業よろしく情報をいただくのですね
# 三行でまとまる機密情報に驚愕
Re: (スコア:0)
まあこの手の機器にはリッチなメモリもなかったりするから。
Re: (スコア:0)
この手の通信は物理層はLANケーブルがほとんどで、特にリアルタイムな機械制御じゃなくて定期監視とかデータ吸い上げなんかだとWi-FiやLPWAに載せるケースも多い(工場内配線は面倒だし)。
たけど工場のセキュリティなんてまめに更新しないし、そこのインフラや現場の担当者がそこまでセキュリティを意識しているかと言えばそうでもない。
だからWi-Fiを傍受されたりVPNなりで侵入される可能性はあるだろうね。
特にOPC UAだと吸い上げデータの集約はサーバPCになるから、そこを突かれるとどうしようもない(これは今回のマルウェアに限らずだけど)。
海外はPLCより産業用PCで制御が主流だから、侵入されると制御を奪われてヤバイ、って意味で脅威度はかなりのはず。
Re: (スコア:0)
LTE搭載の盗聴デバイスをコンセントに隠せばあっさり盗聴できそう
Pipedreamって名前なんとかならないの? (スコア:0)
90年代に流行ってたくさんクローン作られたパイプを繋げるゲームと、
少し前に見つけたIFTTTよりも細かくアプリ連携できるPipedreamっていうサービスと名前被る。