Modern Threats to OT Environments
2021年のRSAサイバーセキュリティカンファレンスにおいて、米国国土安全保障長官アレハンドロ・マヨルカス氏から、サイバーセキュリティ環境についてこの時代を定義する発言がありました:「はっきり言います。ランサムウェアは今や国家安全保障上の危機です。」
先週末、マヨルカス長官の言葉は現実となりました。米国東海岸のディーゼル、ガソリン、ジェット燃料の半分近くを担うColonial Pipelineに対するランサムウェア攻撃は、東海岸の多くの州に供給する重要な燃料ネットワークのシャットダウンを招きました。
この攻撃の影響は、ランサムウェアの結果がどれほど広範で被害の大きいものとなるかを証明しました。重要インフラに対し、サイバー攻撃は供給を中断し、環境を破壊し、場合によっては人命にかかわる危険性も持っています。
詳細な情報はまだ確認されていない部分もありますが、この攻撃はDarkSideと呼ばれるサイバー犯罪者の関連組織が実行したものと報じられており、おそらく一般的なリモートデスクトップツールを使ったとされています。リモートアクセスは、ICS(Industrial Control SystemsおよびOT(Operational Technology)を含む多くの組織が昨年行ったリモートワークへのシフトにより、重要インフラ内の悪用可能な脆弱性となりました。
産業用ランサムウェアの台頭
産業用環境を標的としたランサムウェアは増えつつあり、2018年以降に500%増加していると報告されています。多くの場合、これらの脅威はITとOTの統合を利用し、まずITを標的としてからOTに転回していきます。ICSプロセスを「キルリスト」に含めていたEKANSランサムウェア、ならびに最初にVPN(Virtual Private Network)の脆弱性を悪用してからICSに侵入したCring ランサムウェアでもそうした様子が見られました。
Colonial Pipelineへの侵害の最初の攻撃ベクトルが技術的な脆弱性をエクスプロイトしたものか、認証情報の流出があったのか、あるいは標的型スピアフィッシングであったのかはまだ明らかになっていません。攻撃は最初にITシステムに影響し、安全のための予防措置としてColonialがOTオペレーションをシャットダウンしたということが報じられています。Colonial はランサムウェアが「一時的にすべてのパイプライン操業を停止させ、ITシステムの一部に影響した」ことを確認しており、最終的にOTとITの両方が影響を受けたことがわかります。これは多くのOTシステムがITシステムに依存しており、ITサイバー攻撃がOTやICSプロセスをダウンさせることができるということを非常によく表している例です。
システムをダウンさせることに加えて、脅威アクターはColonialから100GBもの機密データを盗みました。ファイルの暗号化前にデータ抜き出しが行われるというこの種の二重恐喝攻撃は、残念ながら例外というよりも標準となっており、ランサムウェア攻撃の70%以上にはデータ抜き出しも含まれています。一部のランサムウェアギャングは暗号化を丸ごと放棄して、データ盗み出しと恐喝の手法を選択しています。
今年初め、Darktraceは重要インフラ企業に対する二重恐喝ランサムウェア攻撃を阻止しましたが、これには一般的なリモートアクセスツールが使用されていました。このブログでは発見された脅威を詳しく解説し、Darktraceの自己学習型AIがColonial Pipeline インシデントに非常によく似た攻撃に自律的に対処した事例を紹介します。
Darktraceによる脅威の発見
電力機器サプライヤーを標的としたランサムウェア
In an attack against a North American equipment supplier for electrical utilities earlier this year, Darktrace/OT demonstrated its ability to protect critical infrastructure against double extortion ransomware that targeted organizations with ICS and OT.
このランサムウェアは最初にITシステムを標的としましたが、自己学習型Cyber AIにより、OTシステムに拡大し業務を中断させる前に阻止されました。
12時間の間に、攻撃者はまず内部サーバーに侵入し、データを盗み出してランサムウェアを展開しようとしました。最初の侵入から展開までの時間が短いことは珍しいと言えます。ランサムウェア脅威アクターは多くの場合、できるだけ目立たずに数日間かけてサイバーエコシステム内を可能な限り広範囲に拡散してから攻撃するからです。
攻撃は他のセキュリティスタックをどのようにすり抜けたか?
攻撃者は ‘Living off the Land’ (環境に寄生する)テクニックでこの会社の通常の「生活パターン」に溶け込もうとしました。盗んだ管理者認証情報と会社で認められたリモート管理ツールを使い、検知を免れようとしたのです。
Darktraceは正統なリモート管理ソフトウェアが攻撃者のTTP(戦術、テクニック、手順)で悪用される事例を数多く観測しています。リモートアクセスは特にICS攻撃において一般的になりつつある攻撃ベクトルでもあります。たとえば、2月に発生したフロリダ州の水処理施設で発生したサイバーインシデントでは、攻撃者はリモート管理ツールを使って水処理のプロセスを操作しようとしました。
この攻撃者が使った種類のランサムウェアは、ファイルを暗号化する際独自のファイル拡張子を使うことによってアンチウィルスソフトの検知を回避することに成功しています。こうした形の「シグネチャのない」ランサムウェアは、ルール、シグネチャ、脅威フィード、およびCVE(Common Vulnerabilities and Exposures)リストに依存する従来のアプローチを簡単にすり抜けます。これらの手法は過去に文書化された脅威しか検知できないからです。
シグネチャのないランサムウェアなど以前に見られたことのない脅威を検知する唯一の方法は、「既知の悪」のリストに頼ることではなく、異常な動作を見つけることです。これは組織内のあらゆるデバイス、ユーザー、コントローラ、およびそれらの間のすべての接続についての通常の「生活パターン」からのごくわずかな逸脱も見つけることができる自己学習型テクノロジーによって可能になります。
Darktrace の考察
最初の侵入と足掛かりの確立
Despite the abuse of a legitimate tool and the absence of known signatures, Darktrace/OT was able to use a holistic understanding of normal activity to detect the malicious activity at multiple points in the attack lifecycle.
Darktraceがアラートした、脅威の発生を示す最初の明確な兆候は、特権的認証情報の不審な使用でした。このデバイスはさらに、インシデントの直前にVeeamサーバーから不審なRDP(Remote Desktop Protocol)接続を受けており、攻撃者がネットワークの別の場所から水平移動してきた可能性を示しています。
3分後、このデバイスはリモート管理セッションを開始し、それは21時間続きました。これにより攻撃者は従来型の防御からは検知されないまま、サイバーエコシステム内を幅広く移動することができました。しかし、Darktraceは攻撃を示すさらなる早期の前触れとして、この不審なリモート管理の使用を検知していました。
二重脅威パート1:データ抜き出し
最初の侵入から1時間後、Darktraceは不審な量のデータが100%未知のクラウドストレージソリューション、pCloudに送信されていることを検知しました。送信されたデータはSSLを使って暗号化されていましたが、Darktraceはこのデバイスの通常の「生活パターン」からの著しい逸脱である大量の内部ダウンロードおよび外部アップロードに関連して複数のアラートを生成しました。
デバイスは9時間に渡ってデータの抜き出しを続けました。このデバイスにより暗号化されていないSMBプロトコルを使ってダウンロードされたファイルを分析したところ、これらは機密性が高いものであることを示唆していました。幸いなことに、Darktraceは抜き出されたファイルをピンポイントで特定することができたため、顧客は侵害の潜在的影響を即座に評価することができました。
二重脅威パート2:ファイル暗号化
そのすぐ後、現地時間 01:49 に、侵害されたデバイスはSharePointバックアップ共有ドライブでファイルを暗号化し始めました。その後3.5時間に渡り、デバイスは13,000個以上のファイルを少なくとも20個のSMB共有上で暗号化しました。Darktraceは問題のデバイスに対して合計で23個のアラートを生成し、それらは24時間に生成されたすべてのアラートの48%を占めていました。
DarktraceのCyber AI Analystはその後自動的に調査を開始し、内部のファイル転送とSMB上のファイル暗号化を特定しました。ここからCyber AI Analystはインシデントレポートを作成し、個別の異常の点と点をつなぎ合わせ、これらを明快なセキュリティ上の経緯説明にまとめました。これにより、セキュリティチームは即座に是正のためのアクションを取る体制ができました。
If the customer had been using Darktrace’s autonomous response technology, there is no doubt the activity would have been halted before significant volumes of data could have been exfiltrated or files encrypted. Fortunately, after seeing both the alerts and Cyber AI Analyst reports, the customer was able to use Darktrace’s ‘Ask the Expert’ (ATE) service for incident response to mitigate the impact of the attack and assist with disaster recovery.
重要インフラが停止させられる前に脅威を検知
標的となったサプライヤーはOTを管理しており重要インフラ分野に密接な関係を持っていました。早期段階での対応を促進することにより、Darktraceはランサムウェアが製造現場にまで拡散するのを防ぐことができました。重要な点として、Darktraceは業務の中断も最小化し、攻撃によって起こったかもしれないドミノ効果を避けることができました。攻撃によりこのサプライヤーだけでなく、サプライヤーがサポートする電力設備にも影響が及ぶ恐れがあったのです。
最近のColonial Pipelineインシデントや上記の脅威検知結果が示している通り、パイプラインから電力グリッドおよびそのサプライヤーに至るまで、あらゆる形態の重要インフラに対する産業用環境を管理している組織にとってランサムウェアは切実な悩みです。自己学習型AIにより、リアルタイムの脅威検知、自律的調査、そして有効に設定しておけば、的を絞ったマシンスピードの自動対処により、被害が出る前にこれらの脅威ベクトルに対して措置が可能です。
Looking forward: Using Self-Learning AI to protect critical infrastructure across the board
4月下旬、バイデン政権は「米国の重要インフラを執拗かつ巧妙な脅威から保護する」ための野心的取り組みを発表しました。エネルギー省(DOE)の100日計画は、「電力サイバー可視性、検知、対処能力を電力事業の産業用制御システムに提供する」テクノロジーを求めています。
バイデン政権のサイバー計画は単なるベストプラクティス手法や規制ではなく、重要なエネルギーインフラを保護するテクノロジーを明確に求めています。上記の脅威事例でも確認されたように、Darktrace AIは教師なし機械学習を活用して重要インフラおよびそのサプライヤーをマシンのスピードおよび精度で自律的に保護する強力なテクノロジーです。
Darktrace enhances detection, mitigation, and forensic capabilities to detect sophisticated and novel attacks, along with insider threats and pre-existing infections, using Self-Learning Cyber AI, without rules, signatures, or lists of CVEs. Incident investigations provided in real time by Cyber AI Analyst jumpstart remediation with actionable insights, containing emerging attacks at their early stages, before they escalate into crisis.
Enable near real-time situational awareness and response capabilities
Darktrace immediately understands, identifies, and investigates all anomalous activity in ICS/OT networks, whether human or machine driven. Additionally, Darktrace actions targeted response where appropriate to neutralize threats, either actively or in human confirmation mode. Because Self-learning AI adapts alongside evolutions in the ecosystem, organizations benefit from real-time awareness with no tuning or human input necessary
Deploy technologies to increase visibility of threats in ICS and OT systems
Darktrace contextualizes security events, adapts to novel techniques, and translates findings into a security narrative that can be actioned by humans in minutes. Delivering a unified view across IT and OT systems.
Darktrace detects, investigates, and responds to threats at higher Purdue levels and in IT systems before they ‘spill over’ into OT. ‘Plug and play’ deployment seamlessly integrates with technological architecture, presenting 3D network topology with granular visibility into all users, devices, and subnets.
Darktrace's asset identification continuously catalogues all ICS/OT devices and identifies and investigates all threatening activity indicative of emerging attacks – be it ICS ransomware, APTs, zero-day exploits, insider threats, pre-existing infections, DDoS, crypto-mining, misconfigurations, or never-before-seen attacks.
この脅威についての考察はDarktraceアナリストOakley Cox が協力しました。
Darktraceによるモデル検知:
- 最初の侵入:
- User / New Admin Credential on Client
- データ漏えい:
- Anomalous Connection / Uncommon 1 GiB Outbound
- Anomalous Connection / Low and Slow Exfiltration
- Device / Anomalous SMB Followed by Multiple Model Breaches
- Anomalous Connection / Download and Upload
- ファイル暗号化:
- Compromise / Ransomware / Suspicious SMB Activity
- Anomalous Connection / SMB Enumeration
- Device / Anomalous RDP Followed by Multiple Model Breaches
- Anomalous File / Internal / Additional Extension Appended to SMB File
- Anomalous Connection / Sustained MIME Type Conversion
- Anomalous Connection / Suspicious Read Write Ratio
- Device / Multiple Lateral Movement Model Breaches