サイバーニュース.jp

世界のサイバーなニュースを配信

ロシアのハッキング集団「ELECTRUM」、2025年12月のポーランド電力網へのサイバー攻撃に関与

カテゴリ:

イントロダクション:ポーランド電力網へのサイバー攻撃

2025年12月下旬にポーランドの電力網複数箇所を標的とした「協調的な」サイバー攻撃は、中程度の確度でロシアの国家支援型ハッキング集団「ELECTRUM」によるものとされています。運用技術(OT)サイバーセキュリティ企業Dragosが火曜日に発表した新たなインテリジェンス報告書によると、この攻撃は分散型エネルギー資源(DERs)を標的とした初の主要なサイバー攻撃であったと述べられています。

Dragosは、「攻撃は、熱電併給(CHP)施設における通信および制御システム、ならびに風力および太陽光発電所からの再生可能エネルギーシステムの配電を管理するシステムに影響を及ぼしました」と報告しています。また、「攻撃は停電には至らなかったものの、攻撃者はグリッド運用に不可欠な運用技術システムにアクセスし、現場の主要機器を修復不可能なまでに無効にしました」と付け加えています。

ELECTRUMとKAMACITE:分業体制の脅威

ELECTRUMとKAMACITEは、「Sandworm」(別名APT44およびSeashell Blizzard)として知られるグループと重複する部分があることが指摘されています。KAMACITEは、スピアフィッシング、盗まれた認証情報、露出したサービスの悪用などを用いて、標的組織への初期アクセスを確立・維持することに注力しています。彼らは長期にわたり偵察および永続化活動を行い、OT環境の深部に潜り込み、目立たないように活動することで、ELECTRUMが産業制御システムを標的とする行動に先立つ慎重な準備段階を示しています。

一方、Dragosによると、「アクセスが確立された後、ELECTRUMはIT環境とOT環境を橋渡しする作戦を実行し、運用ネットワーク内にツールを展開し、制御システムを操作したり物理的プロセスを妨害したりするICS固有の行動を実行します」とのことです。これらの行動には、運用要件と目的に応じて、オペレーターインターフェースとの手動操作と、目的別に構築されたICSマルウェアの展開の両方が含まれていました。このように、両グループは役割と責任が明確に分離されており、実行の柔軟性を可能にし、有利な条件が揃った場合にOTに特化した侵入を継続的に実施することを容易にしています。

潜在的脅威の広がり

最近では、2025年7月にKAMACITEが米国に設置された産業機器に対するスキャン活動を行っていたとされています。現在までOTの混乱は公には報告されていませんが、これはその運用モデルが地理的に限定されず、初期段階でのアクセス特定と位置確保を促進していることを示しています。

Dragosは、「KAMACITEのアクセス指向の運用は、OTへの影響が発生する条件を作り出し、一方ELECTRUMはタイミング、アクセス、リスク許容度が揃ったときに実行の技術を適用します」と説明しています。「この分業により、実行に柔軟性が生まれ、OTへの影響が直ちに実行されなくとも、選択肢として残ることを可能にします。これは、単一のインシデントを超えて、潜在的な露呈が長期にわたるリスクを拡大させます。」

ポーランド攻撃の詳細分析

Dragosによると、ポーランドでの攻撃は、グリッドオペレーターとDER資産間の通信および制御を容易にするシステムを標的としていました。これにはネットワーク接続を可能にする資産も含まれ、攻撃者は約30の分散型発電サイトでの運用を正常に妨害しました。攻撃者は、露出したネットワークデバイスと悪用された脆弱性を初期アクセスベクトルとして使用し、影響を受けたサイトのリモートターミナルユニット(RTU)と通信インフラに侵入したと評価されています。

調査結果は、攻撃者が電力網インフラについて深い理解を持っていることを示しており、一部のOTデバイスを含む通信機器を無効にすることを可能にしました。ただし、ELECTRUMが実行した悪意のある行動の全範囲は不明であり、Dragosは、攻撃者がこれらの機器に運用コマンドを発行しようとしたのか、それとも単に通信を無効にすることに焦点を当てたのかは不明であると指摘しています。

攻撃の性質とOTセキュリティへの教訓

ポーランド攻撃は、綿密に計画された作戦というよりも、機会主義的かつ急いで実行されたと評価されており、ハッカーは不正アクセスを利用して、Windowsベースのデバイスをワイプして復旧を妨害したり、構成をリセットしたり、機器を永久に破壊しようとすることで、可能な限りの損害を与えようとしました。Dragosによると、標的とされた機器のほとんどはグリッドの安全性と安定性の監視に関わるものでした。

Dragosは、「この事件は、OT固有の能力を持つ敵対者が、分散型発電を監視および制御するシステムを積極的に標的としていることを示しています」と付け加えています。「現場で特定のOTまたは産業制御システム(ICS)機器が修復不可能なまでに無効にされたことは、敵対者による事前配置の試みと見なされ得たものが、本格的な攻撃へと移行したことを意味します。」

元記事: https://thehackernews.com/2026/01/russian-electrum-tied-to-december-2025.html

投稿をさらに読み込む