長年にわたり、 TritonまたはTrisisとして知られるマルウェアの背後にいるハッカーたちは、重要インフラに対する極めて危険な脅威として際立っていました。彼らは、産業安全システムを妨害し、物理的かつ壊滅的な結果をもたらす可能性のあるデジタル侵入者集団です。そして今、米国司法省は、この集団に属するハッカーの一人の名前を公表し、複数の石油精製所を所有する米国企業を標的としていたことを確認しました。
ホワイトハウスが、ロシア政府が米国に対する新たな制裁への報復として米国の重要インフラへのサイバー攻撃を行う可能性があると警告したわずか数日後の木曜日、司法省は、ロシアによる米国エネルギー施設への長年にわたるハッキング活動の概要を示す2つの起訴状を公開した。2021年8月に提出された一連の訴状の中で、当局は、世界中の電力会社やその他の重要インフラを標的にすることで知られ、ロシア政府のために活動していると広く疑われている悪名高いハッキンググループ「バーサーク・ベア」、「ドラゴンフライ2.0」、「ハベックス」のメンバーであるとされるロシアの諜報機関FSB職員3名を名指ししている。
2021年6月に提出された2件目の起訴状は、おそらくより危険なハッカー集団の一員である、Triton、Trisis、Xenotime、Temp.Velesといった様々な名称で知られるロシアのハッカー集団のメンバーを起訴しています。この2件目のグループは、世界中のエネルギーインフラを標的としただけでなく、2017年にはサウジアラビアの石油精製所ペトロ・ラービグに実質的な混乱を引き起こすという稀有な行為に及び、ネットワークを破壊的マルウェアに感染させたほか、起訴状では初めて、同様の意図で米国の石油精製会社への侵入を試みたことが示唆されています。同時に、FBIサイバー部門からの新たな勧告では、Tritonは「依然として脅威」であり、Tritonに関連するハッカー集団は「世界のエネルギー部門を標的とした活動を続けている」と警告しています。
グラドキフ氏とロシアの研究機関の共謀者とされる人物らは、極めて危険なハッカー集団「トリトン」のメンバーであると非難されている。FBI提供
モスクワに拠点を置き、クレムリンと繋がりのある中央化学機械科学研究所(TsNIIKhM)の職員、エフゲニー・ヴィクトロヴィッチ・グラドキフ氏に対する起訴状は、グラドキフ氏と匿名の共謀者らが、マルウェア「トリトン」を開発し、ペトロ・ラービグ社のいわゆる安全計装システム(SIS)を妨害するためにそれを展開したとしている。SISとは、危険な状態を自動的に監視し、対応する装置を妨害するものである。これらの安全システムへのハッキングは、壊滅的な漏洩や爆発につながる可能性があったが、実際にはフェイルセーフ機構を作動させ、サウジアラビアの工場の操業を2度停止させた。検察はまた、グラドキフ氏と共謀者が、特定の(名前は伏せられている)米国の石油精製会社に対して同様の妨害行為を行おうとしたが、失敗したと示唆している。
「今、政府から確認を得ました」と、セキュリティ企業ギガモンの研究員ジョー・スローウィック氏は語る。同氏はTritonマルウェアが初めて登場した際に分析を行い、長年にわたりその背後にいるハッカーを追跡してきた。「高リスク環境で安全計装システムをいじっていた組織が見つかりました。サウジアラビアだけでなく、米国でも同様の行為を試みていることは懸念すべきことです」
起訴状によると、2018年2月、ペトロ・ラービグに配備されたTritonマルウェアがサイバーセキュリティ企業のFireEyeとDragosによって発見されてからわずか2か月後、TsNIIKhMの職員は米国の製油所の調査を開始し、米国のどの製油所が最も生産能力が高いか、それらの施設で火災や爆発が及ぼす潜在的な影響、核攻撃やその他の災害に対する脆弱性を詳述できる米国政府の研究論文を探し出したという。
検察官によると、グラドキフ容疑者は翌月、政府報告書に記載された複数の製油所を所有する特定の米国企業で、どの産業用制御システムソフトウェアが使用されているかを明らかにする可能性のある求人情報を探し始めた。2018年3月から7月にかけて、グラドキフ容疑者は当該企業のネットワークを標的とし、SQLインジェクション攻撃を試みていたとされる。SQLインジェクション攻撃は、ウェブインターフェースの脆弱性を悪用して基盤となるデータベースへのアクセスを試みる手法である。また、他の脆弱性がないか、企業システムを繰り返しスキャンしていた。起訴状によると、これらの侵入試みはいずれも成功しなかった。
詳細は限定的かもしれないが、グラドキフに対する起訴状は、トリトンの背後にいるハッカーたちが米国のシステムに妨害を加えようとし、失敗したという、これまでで最も具体的な主張を示している。しかし、彼らが米国のシステムを探っていたことが明らかになったのはこれが初めてではない。2019年、サイバーセキュリティ企業ドラゴスは、トリトンのハッカーたち(ドラゴスは「ゼノタイム」と呼ぶ)が、少なくとも20カ所の米国電力システムのネットワークをスキャンしていたことを突き止めた。そこには、発電所、送電所、配電所など、米国の電力網のあらゆる要素が含まれていた。しかし、ドラゴスはこれらの米国エネルギー企業に対する表面的な侵入の試み以上の証拠を公表することはなかった。「ゼノタイムの活動全体は、司法省が明らかにしたよりも大規模です」と、ドラゴスの脅威インテリジェンス担当副社長セルジオ・カルタジローネは述べている。「これは、これまで起こっていたことのほんの一部に過ぎません。」
グラドキフの起訴状に加え、司法省がFSBハッカー3人(パベル・アレクサンドロヴィチ・アクロフ、ミハイル・ミハイロヴィチ・ガブリロフ、マラト・ヴァレリエヴィチ・チュコフ)を起訴したことで、世界中の電力網やその他の重要インフラを標的とした10年にわたる一連の侵入事件の実名が初めて明らかになった。起訴状は、このグループ(通称「バーサーク・ベア」)とFSBの関係を裏付けている。このグループは2012年以降、これらのインフラへの侵入に関与しており、ウルフクリーク原子力発電所からサンフランシスコ国際空港まで、幅広い被害を受けている。しかし、トリトン・ハッカーとは異なり、FSBと関係のあるこのグループは、米国の電力会社に直接アクセスできたにもかかわらず、確認された事件で実際に混乱を引き起こしたことがないのが不思議だ。
2件の起訴状に加え、エネルギー省、FBI、CISAは木曜日、米国の重要インフラ企業に対し、トリトン攻撃を実行したTsNIIKhMを拠点とするハッカー集団とFSB関連グループの双方の手法と推奨される対策を列挙した勧告を発表した。FBIは勧告の中で、トリトン攻撃のハッカー集団による攻撃の潜在的な影響は、特に「2015年と2016年にウクライナで停電を引き起こした、ロシアによるものとされていたサイバー攻撃に類似する可能性がある」と警告している。これらの事件は、実際にはロシア軍情報機関GRU(参謀本部情報総局)に所属するサンドワームと呼ばれる別のハッカー集団によって引き起こされた。
両勧告、そして両グループに対する起訴状の公開は、今週初めにホワイトハウスがロシアが米国の重要インフラへのサイバー攻撃の「準備活動」を行っているという、漠然としながらも不吉な警告を発したことを受けてのものだ。ギガモンのスローウィック氏によると、その意図は米国のネットワーク防御者に防御強化を警告するだけでなく、米国政府が長年に渡ってハッキング活動を追跡し、その責任者を特定してきたことをクレムリンに示すことにあるという。「米国政府はロシアのサイバー活動について優れた洞察力と可視性を持っているというメッセージです」とスローウィック氏は語る。「『おい、我々はあなたたちを追跡している。しかも徹底的に追跡しているぞ』というメッセージです」
追加レポートはリリー・ヘイ・ニューマンが担当しました。
WIREDのその他の素晴らしい記事
- 📩 テクノロジー、科学などの最新情報: ニュースレターを購読しましょう!
- フェイスブックのワシントン支社長の無限の影響力
- もちろん私たちはシミュレーションの中で生きている
- パスワードを完全に廃止するための大きな賭け
- 迷惑電話やテキストメッセージをブロックする方法
- 無限のデータ保存の終わりはあなたを解放する
- 👁️ 新しいデータベースで、これまでにないAIを探索しましょう
- ✨ ロボット掃除機からお手頃価格のマットレス、スマートスピーカーまで、Gearチームのおすすめ商品であなたの家庭生活を最適化しましょう
