サイバーニュース.jp

世界のサイバーなニュースを配信

CERT Polskaが30以上の風力・太陽光発電所への協調型サイバー攻撃を詳述

カテゴリ:

1. 攻撃の概要

ポーランドのCERT Polskaは、2025年12月29日に発生した30以上の風力・太陽光発電所、製造業企業、大規模な熱電併給プラント(CHP)に対する協調型サイバー攻撃の詳細を明らかにしました。

この攻撃は、ロシア連邦保安庁(FSB)のセンター16部隊と関連付けられている「Static Tundra」と名付けられた脅威グループ(Berserk Bear、Blue Krakenなどとしても追跡)によるものとされています。ただし、ESETとDragosは、中程度の確信度で別のロシア政府系ハッキンググループである「Sandworm」に活動を帰属させています。

CERT Polskaによると、すべての攻撃は「純粋に破壊的な目的」を持っていましたが、電力生産や熱供給の中断という攻撃者の意図した効果は達成されませんでした。

2. 再生可能エネルギー施設への攻撃

再生可能エネルギー施設への攻撃では、攻撃者は送電網接続ポイントに関連する内部ネットワークへのアクセスを獲得し、偵察活動および破壊活動を行いました。これには、以下の行為が含まれます。

  • コントローラーのファームウェアの損傷
  • システムファイルの削除
  • 「DynoWiper」と名付けられたカスタム製ワイパーマルウェアの実行

3. CHPおよび製造業への攻撃

大規模な熱電併給プラント(CHP)に対する侵入では、攻撃者は2025年3月まで遡る長期的なデータ窃取を行い、特権昇格とネットワーク内でのラテラルムーブメントを可能にしました。しかし、ワイパーマルウェアの起動は失敗に終わりました。

製造業企業への攻撃は日和見的なものと見られ、脆弱なFortinet製周辺機器を介して初期アクセスが確立されました。送電網接続ポイントへの攻撃でも、脆弱なFortiGateアプライアンスが悪用された可能性が高いとされています。

攻撃者は、FortiGateデバイスのSSL-VPNポータルサービスを通じてアクセスを確保した後、静的に定義され二要素認証が無効化された複数のアカウントを使用してインフラに接続しました。また、Torノードや侵害されたIPアドレスも利用されました。

4. マルウェア「DynoWiper」と「LazyWiper」

これまでに4種類の「DynoWiper」が発見されており、エネルギー施設のMikronika HMIコンピュータや、CHPのネットワーク共有に展開されました。

DynoWiperの機能は以下の通りです。

  • メルセンヌツイスター(擬似乱数生成器)の初期化
  • ファイルの列挙とPRNGを使用した破損
  • ファイルの削除

このマルウェアは、永続化メカニズム、コマンド&コントロール(C2)サーバーとの通信、シェルコマンドの実行機能を持たず、セキュリティプログラムから活動を隠蔽しようとしません。

製造業企業への攻撃で使用されたのは、PowerShellベースのワイパー「LazyWiper」です。これは、ファイルを擬似乱数の32バイトシーケンスで上書きし、回復不能にします。このワイピング機能の核は、大規模言語モデル(LLM)を使用して開発された可能性が指摘されています。

5. クラウドサービスへの標的

攻撃者は、オンプレミス環境から取得した認証情報を使用し、Microsoft 365サービス(Exchange、Teams、SharePoint)の対応するアカウントにアクセスを試みました。成功した場合、攻撃者はOTネットワークのモダナイゼーション、SCADAシステム、技術作業に関連するファイルや電子メールメッセージなどの特定のデータをダウンロードしました。

6. 結論と示唆

DynoWiperとSandwormが開発した他のワイパーとのコードレベルの類似性は「一般的なもの」であり、Sandwormの攻撃への関与を示す具体的な証拠にはなっていません。

今回の事件は、重要インフラに対するサイバー攻撃の脅威と、Fortinetなどのエッジデバイスのセキュリティ強化、そして多要素認証の重要性を改めて浮き彫りにしています。

元記事: https://thehackernews.com/2026/01/poland-attributes-december-cyber.html

投稿をさらに読み込む