AI導入後数時間でエネルギーグリッド内に潜むハッカーを検知

ヨーロッパのあるエネルギー企業がサイバー防御のためにAIを導入したとき、犯罪者は既に危険な侵入の最初のいくつかの段階を実行していました。攻撃者がシステム内に既に潜んでいたにも関わらず、Darktraceは学習した組織の「生活パターン」から彼らの行動が逸脱していたことを認識することができました。
ハッカーは1台のデスクトップPCに侵入しコマンド&コントロール(C2)を確立した後、無害なPNGファイルに偽装した実行形式ファイルをダウンロードしていました。しかしDarktraceはこのデスクトップを類似のデバイスの「ピアグループ」に自動的に分類しており、その挙動がグループ全体と比較して特異であることを認識したのです。
侵入に際しては、従来のツールをすり抜けるために、たとえばLiving off the Land(環境に寄生する) テクニック や、マルウェアをよく使われるファイル種別に偽装するなどの多数の回避テクニックが使われていました。Darktraceによる検知の後、これらの「無害な」ファイルを分析したところ、これらは侵入されたデバイスへのリモートアクセスをMetasploitフレームワークを使って可能にするためのものとみられることがわかりました。
攻撃の詳細

図1:攻撃のタイムライン
インストール直後から、Darktraceは約5,000台のデバイスの挙動の監視を開始し、それらのデバイス、それらが属するグループ、そして組織全体での「生活パターン」を学習しました。この学習プロセスを開始してわずか2時間後、管理者のデスクトップPCがIP78.142.XX.XXXでホストされている複数のドメインに不審な接続を行っていることが観測されました。これらの接続が定期的に行われていたことから、このデバイスでは既に感染が確立されていたことがわかります。
次の日、このデスクトップはd.pngという名前の疑わしい実行形式ファイルをダウンロードしていることが検知され、その後同様のダウンロードが複数回発生しました。
実行形式ファイルはセキュリティ対策をすり抜けるためにしばしば他のファイル種別に偽装されますが、このケースではDarktraceによって整合性のないファイル拡張子が即座に検知され、さらなる調査が必要とのフラグが立てられました。
このアクティビティ発生時点でダウンロード元に対するOSINTがなかったことは、他のセキュリティ手段がこの不審なHTTP接続を見逃していた可能性を意味します。しかし、ネットワークに対するこのIPの珍しさと他のネットワーク機器と比較しての特異な振る舞いから、Darktraceはこの悪意あるビーコニングをすばやく検知しました。
感染したデバイスの概要
最初のModel Breachが発生した後、Darktraceは引き続き感染したデバイスを監視し、悪意あるエンドポイントw.gemlab[.]topへの定期的な接続をグラフィカルに表示しました。デバイスはちょうど3時間間隔でこのエンドポイントに複数回接続を行っており、何らかの自動化されたアクティビティであることが考えられます。このデバイスが属するグループの他のいずれのデバイスもこのような挙動を示していませんでした。

図2:Darktraceに表示された接続を示すグラフ。Model Breachはオレンジ色の点で表されています。
DarktraceはこれらのHTTP接続の不審な特徴を検知し、Model Breachとして明確にセキュリティチームに提示し、レビューと対策を促しました。

図3:DarktraceがModel Breachのハイレベルの内容を表示

図4:デバイスイベントログ
既に内部に存在していた脅威の検知
この巧みな攻撃の一例は、通常のトラフィックのノイズに「溶け込む」戦術を示しています。それでも、Darktrace Immune System はユーザーおよびデバイスの「ピアグループ」を自動的に検知しクラスタ化する能力により、1台の侵入されたデバイスが示す異常な挙動を識別し、悪意の兆候を特定することができました。ほんの数時間しか稼働していなかったにもかかわらず、Darktraceはさらなる調査が必要なアクティビティを即座に特定することができたのです。
Darktraceによるリアルタイムの検知とアラート、ならびにセキュリティチームによる脅威封じ込めのための迅速な対応がなければ、この侵入が及ぼしたであろう影響は決して軽視できません。有効なC&Cが確立され十分な権限が付与されていれば、サイバー犯罪者はエネルギーグリッド全体を破壊しエストニアやウクライナでの大停電 のような事態を引き起こす可能性があることが知られています。あるいは、大量の機密情報ファイルを取得して身代金要求 し、標的となった企業に膨大な金銭的損害や信用の毀損を招いていたかもしれません。
Darktraceが顧客の環境に既に存在していた感染を発見したのはこれが初めてではありませんし、おそらく最後にもならないでしょう。サイバー防御に対する 自己学習型アプローチ は環境の変化を識別することに限定されず、既に行われている侵入や、従来のルールやシグネチャをすり抜ける新種または高度な攻撃を検知することも可能です。
この脅威事例についての考察はDarktraceアナリストEmma Foulger が協力しました。
IoCs:
IoC | コメント |
cloud.apcdn[.]ru | このエンドポイントから複数のファイルダウンロード URI: /d.png ハッシュ: 82e1c9727ae04a19c8a155559e1855349e528244 |
w.gemlab[.]top | 最初に観測された C2 接続がこのホスト名に対して見られた |
cloud.gemlab[.]top img.gemlab[.]top img.apcdn[.]ru | 他の C2 通信がこれらのホスト名に対して見られた |
Darktraceによるモデル検知結果:
- Device / Suspicious Domain
- Compromise / Agent Beacon (Long Period)
- Anomalous File / EXE from Rare External Location
- Anomalous File / Masqueraded File Transfer