北朝鮮のハッカー集団が作成したマルウェアが原子力発電所のネットワークに侵入
by Jackson_893
世界中の金融機関や政府機関をターゲットにサイバー攻撃を行っている国際ハッカー集団のラザルスグループ(HIDDEN COBRA)は、北朝鮮との関連が示唆されています。そんなラザルスグループの作成したマルウェアが、インドのクダンクラム原子力発電所のネットワークに侵入したことが判明しました。
NPC Admission on Malware Attack
https://www.scribd.com/document/432675681/NPC-Admission-on-Malware-Attack
Indian nuclear power plant’s network was hacked, officials confirm | Ars Technica
https://arstechnica.com/information-technology/2019/10/indian-nuclear-power-company-confirms-north-korean-malware-attack/
Hackers Target Indian Nuclear Power Plant – Everything We Know So Far
https://thehackernews.com/2019/10/nuclear-power-plant-cyberattack.html
クダンクラム原子力発電所はインド南端のタミル・ナードゥ州にある原子力発電所で、2014年12月から商業運転が開始されています。インドの政府機関でかつてアナリストを務めていたセキュリティ専門家のPukhraj Singh氏は、2019年9月7日にインドがサイバー攻撃を受けたことをTwitterで示唆しました。さらに2019年10月28日にSingh氏が「クダンクラム原子力発電所で、ドメイン制御レベルのアクセスがあった」と述べ、多くのTwitterユーザーやインドの野党政治家らが、政府に説明を求めたとのこと。
So, it's public now. Domain controller-level access at Kudankulam Nuclear Power Plant. The government was notified way back. Extremely mission-critical targets were hit. https://t.co/rFaTeOsZrw pic.twitter.com/OMVvMwizSi
— Pukhraj Singh (@RungRage) 2019年10月28日
この動きに対してクダンクラム原子力発電所の当局者は2019年10月29日、「原子力発電所の制御システムはスタンドアローンであり、外部のネットワークやインターネットに接続されていないため、サイバー攻撃を受けていない」と発表しました。ところが、制御システムへの侵入を否定する一方で、それ以外の箇所に対するサイバー攻撃の有無には言及しませんでした。
そして制御システムへの侵入が否定された翌日の10月30日、インド原子力発電公社(NPCIL)は「クダンクラム原子力発電所の管理ネットワーク上で、ラザルスグループによって作成されたマルウェアの侵入を発見した」と認めました。この問題は「インドのコンピューター緊急対応チーム(CERT-In)によって2019年9月4日に報告されていた」と、NPCILの副所長であるAK Nemaは述べています。
Nema氏によると、問題についての専門家の調査は速やかに実施されたそうです。感染したコンピューターは管理目的で使用されるものであり、重要な内部ネットワークからは隔離されているとのことで、問題のネットワークは継続的に監視が続けられている模様。
by Soumil Kumar
今回発見されたマルウェアは「DTrack」と名付けられているスパイツールであり、セキュリティ企業であるKasperskyのグローバル調査分析チームが、インドの金融機関や研究機関などで発見したマルウェアです。DTrackはラザルスグループが使用する他のマルウェアとコードの共有が見られることから、ラザルスグループによって作成されたとみられています。
DTrackはスパイおよび監視ツールとして機能し、感染したシステムに関するデータの収集やキーストロークの記録、接続したネットワークのスキャン、感染したコンピューター上のアクティブなプロセスの監視などが可能だそうです。なお、マルウェアの別バージョンである「ATMDtrack」は、インドのATMに侵入して顧客のカードデータを窃取するために用いられていたとのこと。
記事作成時点でDTrackが直接クダンクラム原子力発電所の制御システムに攻撃をしたことは確認されていませんが、今回の攻撃は次のよりクリティカルな攻撃を見据えたものだったとの見方もあります。2019年5月に赤十字国際委員会が発表したサイバー攻撃に関するレポートでも、「信頼できるシステムへの先制攻撃はその後の攻撃を容易にする」と述べられており、比較的侵入しやすいネットワークに潜みつつ、ソフトウェアアップデートなどの機会に乗じて隔離された制御システムへの侵入を試みていた可能性も指摘されています。
・関連記事
北朝鮮のハッカー集団は米朝首脳会談中でも敵対国企業へのサイバー攻撃を活発に行っていた - GIGAZINE
北朝鮮との関連が疑われるハッカー集団が「求人広告」を使って銀行間ネットワークを担う企業に侵入 - GIGAZINE
国際ハッカー集団が「偽の仮想通貨取引アプリ」を使いMacを乗っ取る攻撃を展開 - GIGAZINE
北朝鮮ハッカーがランサムウェア「WannaCry」作成とソニー・ピクチャーズへのハッキングに関与したとしてアメリカが訴追へ - GIGAZINE
北朝鮮のハッカー集団が数百億円もの現金を世界中の銀行から不正に引き出していたことが判明 - GIGAZINE
北朝鮮の関与が疑われるハッカー集団が世界中のインフラや企業をハッキングする「Operation GhostSecret」の存在が明らかに - GIGAZINE
サイバー攻撃が原子力発電所に混乱をもたらしていた - GIGAZINE
アメリカの原子力発電所がサイバー攻撃にさらされている - GIGAZINE
韓国原発がハッキングを受け、内部システムからウイルスが発見される - GIGAZINE
・関連コンテンツ