DarktraceによるOTへの脅威の発見:国際空港を標的とした高度なICS攻撃の検知

産業用制御システム(ICS)と従来型ITネットワークの統合が進む中で、企業のネットワーク内で開始してからオペレーショナルテクノロジーに拡散されるサイバー攻撃の数は、過去12か月間に劇的に増加しました。インドの原子力発電所を標的とした北朝鮮のハッカー から、米国のガス施設やホンダの工場の操業を停止させたランサムウェアに至るまで、2020年はOTへの攻撃がメインストリームとなった年でした。
Darktraceは最近、ある国際空港における最先端の攻撃のシミュレーションを検知し、ICSの偵察、水平移動、脆弱性スキャン、プロトコルファジングを特定しました。プロトコルファジングとは、攻撃者がICSの通信チャネル上で無意味なコマンドを送信し、標的のデバイスを混乱させて故障または再起動させるという手法です。
DarktraceのIndustrial Immune Systemは、この巧妙な攻撃のすべての段階を検知しました。その際、AIを使った異常検知によって、既知のエクスプロイト、企業のアセット、ファームウェアバージョンのリストを使うことなくICSへの攻撃ベクトルを特定しました。攻撃者はICSのキルチェーンの全段階でツールを駆使しました。その中には、ICS固有の攻撃手法もありました。
1個のコイル、オブジェクト、その他のデータブロックを読み取ろうとする、または再プログラムするための、あらゆる不審な試みがCyber AIによって検知されました。さらにDarktraceのCyber AI Analystはこのアクティビティを自動的に特定し、主な対応策を詳しく説明するサマリーレポートを作成しました。
攻撃は数日間に及び、ビル管理システム(BMS)と手荷物受取所のネットワークを標的としました。その中で、攻撃者は2つの一般的なICSプロトコル(BacNetとS7Comm)を利用し、正当なツール(ICSの再プログラミングコマンドや、SMBサービスパイプ経由の接続)を活用して、従来型のシグネチャベースのセキュリティツールを回避しました。
攻撃の詳細

図1:攻撃のタイムライン攻撃の最初の段階では、ARPスプーフィングを使って従来型セキュリティツールからの検出を回避しながら、ネットワークに新しいデバイスが導入されました。午前11時40分に、攻撃者は標的デバイスをスキャンし、開いているサービスへのブルートフォース攻撃を試みました。標的デバイスを乗っ取ると、インターネットへの外部接続を確立しようとしました。ICSネットワークでは外部接続は許可されないはずですが、攻撃者はしばしばファイアウォールやネットワーク隔離ルールをバイパスし、コマンド&コントロール(C2)チャネルを作成しようとします。

図2:侵入テストの開始から15分経過後のDarktrace脅威トレイ。ハイレベルのモデル違反により、攻撃デバイスについての警告がアナリストチームに既に送信されている。
その後、乗っ取られたデバイスは、DiscoverおよびReadコマンドを使用してICSの偵察を開始しました。Darktraceは、この偵察の一環として標的にされた新しいオブジェクトとデータブロックを特定し、通常とは異なるBacNetおよびSiemens S7Commプロトコルコマンドの標的になっていたICSデバイスを検知しました。

図3:BacNet上のICS偵察に関連するモデルアラート。ICSコマンドレベルでの機械学習により、新しい、通常とは異なるBacNetオブジェクトが攻撃者によって標的とされていたことが検知されました。
攻撃者はICSシステム全体で水平移動を行うために、複数のICSデバイスにわたって列挙を行いました。デバイスの設定と構成を把握すると、攻撃者はICSのReprogramおよびWriteコマンドを使用してマシンの設定を変更しました。攻撃者は標的デバイスを悪用するために、SMB、SMBv1、HTTP、RDP、およびICSプロトコルのファジングなど、既知の脆弱性を使おうとしました。

図4:攻撃者が複数のICSコントローラに対してデバイスの列挙を実行した様子の可視化。攻撃者は、最初の偵察の一環としてICS Discoverコマンドを使用しました。
攻撃者は空港のサイバーセキュリティスタックを回避するための行動をとりました。ネットワーク上で一般的に使用されているICSプロトコルを使って、これらのプロトコルを一般的に使用しているデバイスに接続するといったことです。従来型のセキュリティツールはこのアクティビティを認識できませんでしたが、Darktraceのディープパケットインスペクションでは、これらの「通常の」接続に紛れた、攻撃者の異常なコマンドを特定することができました。
攻撃者はARPスプーフィングを使用して、アセットマネジメントベースのセキュリティツールによる調査を遅らせました。これらのツールには、空港がトライアル利用していた他の2つのソリューションも含まれていました。また、侵入全体にわたって複数のデバイスを使用し、防御チームを煙に巻きました。
さらに、DarktraceのAIテクノロジーは、自動化されたインシデント調査を開始しました。Cyber AI Analystはすべての攻撃デバイスを特定し、それぞれについてサマリーレポートを生成しました。これにより、セキュリティチームの貴重な時間を節約しただけではなく、ITチームとICSエンジニアの間のスキルギャップを埋める能力を披露しました。

図5:1日目の終わりにおけるCyber AI Analystの脅威トレイ。攻撃者の使用したデバイスが両方とも特定されています。
Cyber AI Analystは最初のモデル違反の直後に調査を開始し、続いてネットワーク全体にわたる個々のイベントをつなぎ合わせ、自然言語で書かれたインシデントサマリーを生成しました。サマリーには、推奨される対応策も含まれていました。

図6:2日目の終わりにおけるAIAのインシデントサマリー。SMBエクスプロイトを、ICSデバイスに対する攻撃チェーンの一部として説明しています。
起こり得る結果
この攻撃を続けられていたとしたら、攻撃者(活動家グループ、テロリスト組織、組織的犯罪者の可能性もある)は空港に対し、重大なオペレーション中断を引き起こすことができた可能性があります。たとえば、制限エリアの内外における温度設定、スプリンクラーシステム、火災警報器、非常口、照明、ドアは、おそらくビル管理システムによって制御されています。これらの1つでもみだりに変更されていれば、空港で重大な混乱が発生し、コストと評判の面で著しい悪影響が発生する恐れがありました。同様に、手荷物受取所のネットワークへのアクセスを犯罪者が利用すると、不正な商品の密輸や、貴重な貨物の盗難につながるおそれがあります。
このシミュレーションは、ITとOTが統合されたネットワークを侵害しようとする高度なサイバー犯罪者にとっての可能性を示しています。大手ICS「セキュリティ」ベンダーの大半はシグネチャベースのため、新たな手法を発見できず、悪意のある結果を引き起こすために一般的なプロトコルが使用されても認識できません。これこそが、今年もICS攻撃が引き続きニュースの見出しを飾っていた理由です。
このインシデントは、実世界のICS環境におけるCyber AIの検知の範囲と、攻撃を受けてDarktraceが提供できる情報の詳細さを実証しています。ICSと広義のITネットワークとの統合が進むに従い、こうした重要システムのセキュリティ保護は最重要課題となります。Darktraceは、デジタル環境全体にわたって可視化と検知を実現する、統一されたセキュリティの傘を提供します。
この調査結果についての考察はDarktraceアナリストOakley Cox が協力しました。
Industrial Immune Systemについて詳しく知る
Darktrace によるモデル検知結果:
- ICS / Unusual ICS Commands
- ICS / Multiple New Reprograms
- ICS / Multiple New Discover Commands
- ICS / Rare External from OT Device
- ICS / Uncommon ICS Protocol Warning
- ICS / Multiple Failed Connections to ICS Device
- ICS / Anomalous IT to ICS Connection