ウクライナ戦争で使用された9種類のデータワイパーの概要

編集者注 : 以下の投稿はレポート全文の抜粋です。分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。

このレポートは、進行中のウクライナ/ロシア戦争に関連してInsikt Groupが分析した9つのワイパーのハイレベルな比較概要として機能します。 これは、ツール間の類似点と相違点、およびそれらの開発と使用の地政学的な影響についての洞察を提供することを目的としています。 このレポートの対象読者は、ワイパーの高レベルの技術概要を探している人々です。 使用されるソースには、リバース・エンジニアリング・ツール、OSINT、Recorded Future® Platform、PolySwarm などがあります。

Executive Summary

ウクライナとロシアの戦争は主に動的な紛争ですが、戦争の直後と最初の2か月以上の間に、ウクライナのエンティティを標的としたいくつかの破壊的なデータワイパーが出現し、紛争をサイバースペースにもたらしました。 Insikt Groupが分析した9つのワイパーは、同じ高レベルの破壊的な目標を持っていましたが、技術的な実装と対象とするオペレーティングシステムが異なり、それぞれが異なるツールであり、おそらく異なる作成者によって作成されたことを示唆しています。 時間が経つにつれて、ワイパーは、ステージ数の削減、難読化の存在、ランサムウェアになりすまそうとする試みなど、技術的なレベルでもより単純化されましたが、他の既知のロシアの国家支援マルウェアほどの高度なものはありませんでした。

ワイパー配備活動は、ウクライナや他の国々に対するロシア国家主導のサイバー作戦と過去に実施されたものと一致しています。これらの取り組みは、紛争前や紛争中に行われることが多く、ロシアの軍事作戦の「戦力増強剤」として機能することを意図している可能性が高い。 ウクライナの標的に対して破壊的なサイバー作戦を展開する継続的な取り組みは、ロシア政府がそのような作戦をほぼ確実に価値あるものと考えていることを示しており、これらの取り組みが継続する可能性が高いことを示唆しています。

主な判断

• Insikt Groupが分析したウクライナ/ロシアの紛争に関連するワイパーのうち6つは、すべてWindowsマシンを動作不能にするという同じ高レベルの破壊的な目的を果たしています。他のワイパーはLinuxシステム(衛星モデムを含む)を対象としていました。
• ワイパーは、ワイパー間で明らかなコードの類似性を共有しておらず、互いのイテレーションや新しいバージョンである可能性は低いです。
• HermeticWiperは、HermeticWizardとして知られるワームコンポーネントによって配布されていることが判明した唯一のワイパーでした。 HermeticWizardは、その拡散を被害者のネットワーク内のローカルIPアドレスに制限し、NotPetyaのような他のワームインシデントで見られる外部への配布を防止しました。
• ワイパー自体には、被害者のデータをさらに盗み出すためのネットワーク接続機能は含まれておらず、その目的が特定のエンティティの破壊を目的としていたことが示唆されています。

背景

ロシア政府の利益を支援するために行動し、ロシアの軍事作戦に先立って、また同時にサイバー作戦に従事している可能性が非常に高い、観察可能な歴史的なパターンがあります。 このような作戦は少なくとも2008年8月にさかのぼり、ロシア軍が南オセチアで攻勢を開始し、グルジア全土で爆撃作戦を行っていたのとほぼ同時期に、親ロシア派のハクティビストがグルジア政府、銀行、メディア、通信、輸送リソースに対して一連の 持続的な分散型サービス拒否(DDoS) 攻撃と Webサイトの改ざん に関与したと 報告 されています。2014年以降、 Sandworm など、ロシア 情報総局(GRU) 傘下のロシア国家支援のAPT(Advanced Persistent Threat)グループは、2015年と2016年( 1 、 2 )、 2017 年には「公益事業会社、銀行、空港、政府機関」など、ウクライナの重要な国内セクターに対するサイバー作戦に一貫して関与している。ロシアの全面侵攻とそれに続くウクライナ戦争の開始後、Sandworm とその他の GRU 関連と思われる脅威活動グループは、ウクライナのエンティティに対する軍事作戦と連携してサイバー攻撃を展開する試みに再び取り組み、最近では一連のデータ消去攻撃の展開に失敗しました。 このレポートでは、マルウェア、そのタイミング、これらのワイパー攻撃に関連する戦術、手法、手順(TTP)と、これが全体的な紛争にとって何を意味するかを探ります。