北朝鮮のハッカー集団が作成したマルウェアが原子力発電所のネットワークに侵入

by Jackson_893

世界中の金融機関や政府機関をターゲットにサイバー攻撃を行っている国際ハッカー集団のラザルスグループ(HIDDEN COBRA)は、北朝鮮との関連が示唆されています。そんなラザルスグループの作成したマルウェアが、インドのクダンクラム原子力発電所のネットワークに侵入したことが判明しました。

NPC Admission on Malware Attack
https://www.scribd.com/document/432675681/NPC-Admission-on-Malware-Attack

Indian nuclear power plant’s network was hacked, officials confirm | Ars Technica
https://arstechnica.com/information-technology/2019/10/indian-nuclear-power-company-confirms-north-korean-malware-attack/

Hackers Target Indian Nuclear Power Plant – Everything We Know So Far
https://thehackernews.com/2019/10/nuclear-power-plant-cyberattack.html

クダンクラム原子力発電所はインド南端のタミル・ナードゥ州にある原子力発電所で、2014年12月から商業運転が開始されています。インドの政府機関でかつてアナリストを務めていたセキュリティ専門家のPukhraj Singh氏は、2019年9月7日にインドがサイバー攻撃を受けたことをTwitterで示唆しました。さらに2019年10月28日にSingh氏が「クダンクラム原子力発電所で、ドメイン制御レベルのアクセスがあった」と述べ、多くのTwitterユーザーやインドの野党政治家らが、政府に説明を求めたとのこと。

この動きに対してクダンクラム原子力発電所の当局者は2019年10月29日、「原子力発電所の制御システムはスタンドアローンであり、外部のネットワークやインターネットに接続されていないため、サイバー攻撃を受けていない」と発表しました。ところが、制御システムへの侵入を否定する一方で、それ以外の箇所に対するサイバー攻撃の有無には言及しませんでした。

そして制御システムへの侵入が否定された翌日の10月30日、インド原子力発電公社(NPCIL)は「クダンクラム原子力発電所の管理ネットワーク上で、ラザルスグループによって作成されたマルウェアの侵入を発見した」と認めました。この問題は「インドのコンピューター緊急対応チーム(CERT-In)によって2019年9月4日に報告されていた」と、NPCILの副所長であるAK Nemaは述べています。

Nema氏によると、問題についての専門家の調査は速やかに実施されたそうです。感染したコンピューターは管理目的で使用されるものであり、重要な内部ネットワークからは隔離されているとのことで、問題のネットワークは継続的に監視が続けられている模様。

by Soumil Kumar

今回発見されたマルウェアは「DTrack」と名付けられているスパイツールであり、セキュリティ企業であるKasperskyのグローバル調査分析チームが、インドの金融機関や研究機関などで発見したマルウェアです。DTrackはラザルスグループが使用する他のマルウェアとコードの共有が見られることから、ラザルスグループによって作成されたとみられています。

DTrackはスパイおよび監視ツールとして機能し、感染したシステムに関するデータの収集やキーストロークの記録、接続したネットワークのスキャン、感染したコンピューター上のアクティブなプロセスの監視などが可能だそうです。なお、マルウェアの別バージョンである「ATMDtrack」は、インドのATMに侵入して顧客のカードデータを窃取するために用いられていたとのこと。

記事作成時点でDTrackが直接クダンクラム原子力発電所の制御システムに攻撃をしたことは確認されていませんが、今回の攻撃は次のよりクリティカルな攻撃を見据えたものだったとの見方もあります。2019年5月に赤十字国際委員会が発表したサイバー攻撃に関するレポートでも、「信頼できるシステムへの先制攻撃はその後の攻撃を容易にする」と述べられており、比較的侵入しやすいネットワークに潜みつつ、ソフトウェアアップデートなどの機会に乗じて隔離された制御システムへの侵入を試みていた可能性も指摘されています。

by India Water Portal