専門家はSandwormグループの攻撃への関与を指し示す証拠を発見しました。

最近の違法なソフトウェアNotPetyaの拡散と2015年12月のウクライナ電力網への攻撃は、同じハッカーグループの攻撃である可能性があります。これらの攻撃の相関性について、ESET社や「カスペルスキー」の専門家が報告しました。この攻撃を担当するグループは、2007年から活動していて、Sandworm、BlackEnergy、TeleBots、Electrum、TEMP.Noble、Quedaghという名で知られています。グループは、2014年にNATOや政府機関への攻撃で、悪評を得たという事実にもかかわらず、その過程で、Windows上でゼロデイの脆弱性（CVE-2014から4114）を悪用しました。そのほとんどが（特にウクライナ）産業インフラへのよく知られた攻撃です。

通常、SCADAシステムはハッカーの目的になっていて、攻撃には悪意のあるソフトウェアBlackEnergyが使用されました。グループの活動と関連している別のマルウェアツールはKillDiskで – サイバー攻撃の痕跡を隠すために設計されたプログラムです。グループはかなり長い時間、さまざまなオブジェクトへの攻撃でこのツールを使用しましたが、、この冬、専門家はKillDiskを使用して、悪質な攻撃の拡大を記録していると報告しました。特に、昨年12月には、暗号化機能を持ったマルウェアの新しいバージョンが確認されています。その後、KillDiskのLinuxバージョンが現れました。基本的に、攻撃はウクライナの銀行や海上輸送にサービスを提供する企業が狙われました。

ESET社の専門家 アントン・チェレパノーブ氏によると、違法なソフトウェア、Win32 / Filecoder.NKH（2017年3月）、XData（2017年5月）、NotPetya（2017年6月）を拡散するための攻撃にTeleBots / BlackEnergy / Sandwormのグループの関与を指し示す証拠を明らかにしました。Cherepanov氏によると、最近の攻撃、NotPetyaを含む3つのすべての悪質な攻撃は、ウクライナのオブジェクトに焦点を当てたもので、ウクライナのビジネス部門を妨害​​するための主要な攻撃の一環です。「カスペルスキー」の専門家も過去のNotPetyaの攻撃とTeleBots / BlackEnergy / Sandwormによる攻撃の関連性を指摘しました。それと同時に、彼らの発見は、明確な証拠と認知することができないと指摘しました。

以前、米国政府は、発電と原子力産業の代表者に対する産業界のサイバー攻撃を警告しました。国土安全保障省とFBIの米国商務省の報告によると、フィッシングによって、この年の5月以来、攻撃者が関心のある企業へのネットワークにアクセスするための資格情報をハッキングしました。6月27日、ウクライナの銀行、エネルギー企業や公共のインターネットリソースとローカルネットワーク、ウクライナのメディアやその他の大企業は、NotPetyaを使用した最大の攻撃を受けました。

記事提供元: http://www.securitylab.ru

翻訳: Kazunori Yoshida