AIによる自立型エンドポイントセキュリティを提供しているSentinelOne(米カリフォルニア州)の研究機関、SentinelOneLABSが、Agriusと名付けたイスラエルに対するサイバー攻撃についてレポートしています。攻撃で使われているマルウェアが、コンピューターを破壊するワイパーからランサムウェアへと改変された実態があるようです。
ワイパーDEADWOODとApostle
ワイパーは侵害したコンピューターのファイルを破壊しMBR(マスターブートレコード)を上書きしてしまうマルウェアです。2012年のサウジアラムコへの攻撃や2016年にサウジアラビアの政府機関や中央銀行などに対して行われた攻撃、2018年に南米チリの商業銀行、バンクデチリで起きた不正送金等でも使われました。サウジアラムコやサウジアラビア政府機関等へのワイパー攻撃は政治的な背景にもとづく破壊活動と見られていますが、バンクデチリに対するワイパーの使用は、コンピューターをワイパーによって破壊し、混乱の隙に不正送金を実行したものとみられていて、犯罪目的の使用と考えられます。
SentinelOneLABSの最近のレポート「From Wiper to Ransomware The Evolution of Agrius(ワイパーからランサムウェアへ アグリウスの進化)」によると、Agriusはイスラエルをターゲットとした攻撃で、SentinelOneLABSでは2020年からその動向を観察しているようです。当初はサイバースパイ活動を行っていましたが、その後、ワイパーDEADWOOD(別名Detbosit)と新たなワイパーApostleを投下し、Apostleはさらにランサムウェア機能がカスタムされたということです。この攻撃では別に「IPsec Helper」というマルウェアも展開されており、SentinelOneLABSではIPsec HelperとワイパーApostleの開発者は同じとの見方をしています。ワイパーマルウェアからランサムウェアへと改変された理由は定かでありませんが、破壊を目的とした攻撃を、金銭を目的としたランサムウェア攻撃にカモフラージュするためなのかもしれません。
イランが関与?Shamoonは「コピーキャット」との指摘も
Agrius 攻撃でApostle とともに使用されたワイパーのDEADWOODは、2019年にサウジアラビアへの攻撃でも使用され、この攻撃はイランとの関係が指摘されているグループによる攻撃との見方がなされているようです。また、やはりイランとの関係が指摘されている別のグループでもDEADWOODワイパーを使用している実態があるようです。2019年6月にアメリカの国土安全保障省のサイバーセキュリティ・インフラストラクチャ―・セキュリティ庁が「イランの政権関係者や代理人が破壊的なワイパー攻撃を行うケースが増えている」として警戒を呼びかける声明を出しています。Agrius攻撃についてSentinelOneLABSはイランの関与を示唆しており、また、Agriusは中東の様々な組織をターゲットにスパイ活動と破壊活動を行っている新しい脅威だとしています。
中東で頻発するワイパー攻撃はイランが関与して行われているとの見方が強くあります。しかし一方でワイパー攻撃を最初に受けたのも実はイランではないかとみられています。2012年8月にサウジアラムコがワイパーShamoonによる攻撃を受けた4カ月前、イラン石油省にサイバー攻撃が行われ、イラン石油省のコンピューターのハードディスクが消去される事件がありました。この時に使用されたマルウェアは攻撃後にマルウェアそのものが消去される高度な機能を有していたためマルウェアのサンプルを得ることができなかったと言われています。
しかし、国際電気通信連合(ITU)の依頼で攻撃を受けたコンピューターを調査したロシアのサイバーセキュリティ企業、カスペルスキーの研究チームはイラン石油省を攻撃したマルウェアをワイパーと断定し、4カ月後にサウジアラムコを攻撃したワイパーShamoonはそのコピーキャット(模倣品)との見解を表明しています。イラン石油省への攻撃で使われたワイパーマルウェアを真似てつくられたのがShamoonだというわけです。カスペルスキーの見解がどのような評価を受けているのか承知していないのですが、ワイパーは依然として謎を残しつつSentinelOneLABSのレポートによればランサムウェアの機能を有するマルウェアへと「進化」しているようです。
■出典
https://labs.sentinelone.com/from-wiper-to-ransomware-the-evolution-of-agrius
https://www.securityval.com/blog/iran-cyber-response-bulletin/