イランの鉄道システムを攻撃した新たなワイパーマルウェア「Meteor」とは?

 今年7月にイランで起きた鉄道システムに対するサイバー攻撃で使われたマルウェアに関し、Sentinel LABSやCheck Point Researchが分析レポートを発表しています。これはイランのサイバーセキュリティ企業、Amnpardaz Software社が公開したテクニカル分析にもとづいているようです。

Sentinel LABS「攻撃の大部分を再構築」

 イランでは今年7月9日と10日に鉄道と道路都市開発省のシステムがサイバー攻撃を受け、駅の運行掲示板の列車ダイヤが軒並み「遅延」や「運休」などと表示される事態となったようです。Sentinel LABSによると、この攻撃で使用されたマルウェアは「Meteor」という新しいワイパーマルウェアだということです。ワイパーはデータを破壊するマルウェアです。ランサムウェアは復号化キーによってデータを元に戻すことができるようにプログラムされたマルウェアですが、ワイパーはデータを破壊して元に戻すことができなくなるマルウェアです。

 Sentinel LABSはワイパーマルウェアのMeteorについて、「攻撃の大部分を再構築することができた」としています。Sentinel LABS によると、攻撃者はCABファイルを配布し、全体的なツールキットはパッチファイルの組み合わせで構成されているということです。ワイパーコンポーネントは機能によって分割されていて、ファイルを暗号化しMBR(マスターブートレコード)が破壊されてシステムがロックされます。Sentinel LABSはMeteorについて、アーティファクトから過去3年間に開発され、再利用できるように設計されていると指摘しています。また、攻撃者は中級レベルのプレーヤーだとしています。

 Sentinel LABSによると、イランのテクニカル分析ではMBRを破壊する手法からNotPetyaとの関係が指摘されているようです。NotPetyaはウクライナを中心に世界的に猛威をふるったワイパーで、ランサムウェアのPetyaから派生したマルウェアです。MeteorのMBRを破壊する手法がNotPetyaと同じだということのようですが、これはMeteorにNotPetyaのオペレーターが関与している可能性を示唆します。しかし、あるいはMeteorの攻撃者がだれなのかわからなくする作戦なのかもしれません。Sentinel LABSはこの点について、NotPetyaのMBR破壊のスキームは犯罪活動で使われたPetyaからのものであることを思い出すことが重要だとしています。

Check Point Research「攻撃者はインドラと名乗る脅威グループ」

 Meteor やイランの鉄道に対するサイバー攻撃については、Check Point Researchもレポートを発表しています。Check Point Researchによると、イランの鉄道を狙ったMeteorによる攻撃は2019年以降に行われたシリアの複数の民間企業に対する活動と戦術や技術が類似しており、イランへの攻撃を含めてこれらの攻撃は、インドラと呼ばれるグループによって行われたとの見解を表明しています。そして、ツールの品質や手口、インドラのソーシャルメディアから判断して、インドラが国家によって運営されている可能性は低いとの見方をしています。

 イランでは今年10月には全国のガソリンスタンドで政府が発行する電子決済用のスマートカードが使えなくなる事態となり、これはガソリンスタンドの給油機とスマートカードを管理するシステムに対してサイバー攻撃が行われたことが原因とされています。7月の鉄道へのサイバー攻撃では駅の電子掲示板等に「cyberattack64411」とのメッセージが表示されたということですが、10月のガソリンシステムへの攻撃でもテヘランなどの主要都市の道路の電子掲示板に不正な表示がなされ、ガソリンスタンドの給油機には「cyberattack64411」の表示がなされたとの報道もあるようですので、攻撃者が同じ可能性もあります。ただし、イランのガソリンシステムに対する攻撃のテクニカルな分析は現状公表されておらず詳細は不明です。

■出典
https://www.sentinelone.com/labs/meteorexpress-mysterious-wiper-paralyzes-iranian-trains-with-epic-troll/

https://research.checkpoint.com/2021/indra-hackers-behind-recent-attacks-on-iran/

https://www.rferl.org/a/iran-cyberattack-gas-stations/31530364.html

最新情報をチェックしよう!