ここから本文です

産業用制御システムを狙うStuxnetに類似したマルウェア「IRONGATE」

THE ZERO/ONE 8/18(木) 8:50配信

セキュリティ研究者が洗練されたマルウェアを発見した。これは破壊工作マルウェアであるStuxnetのような仕掛けを用いたもので、産業コントロールシステム(ICS:Industrial Control System)や監視制御システム(SCADA:Supervisory Control And Data Acquisition)を標的にするために特別に設計されている。

6月に、セキュリティ企業 FireEye Labs Advanced Reverse Engineeringの研究者らが、「IRONGATE」と名付けられたこのマルウェアが、シーメンスの産業コントロールシステムに影響すると説明した。

マルウェアはシミュレーション環境だけで作動し、恐らく実際には使用されていないただの概念実証である。よって、まだ現実世界のシステムに影響を与えるほど高度なものではない。

IRONGATEマルウェアは「実運用されているSiemensのコントロールシステムに対して有効なものではない」「シーメンス製品のいかなる脆弱性もエクスプロイトしていない」と FireEye Labsのブログにシーメンスが上記のように言っていると伝えている。
Stuxnetのような動作がいくつか含まれる手法から、研究者はこのマルウェアが興味をそそられるものだということに気付いた。

米国とイスラエルが開発したとされている破壊的マルウェアStuxnetは、イランの核施設を 妨害し、濃縮遠心分離施設を破壊した。

Stuxnetと同じように、IRONGATE は中間者攻撃技術を使用してPLC(Programmable Logic Controller)と正規のソフトウェア監視プロセスの間に入り込み、発動前に防衛体制をチェックし、自身の痕跡も隠す。

さらにはStuxnetのような中間者攻撃を実現するために、IRONGATEは有効なDLL(Dynamic Link Library)ファイルを悪意のあるコピーに置き換える。これはマルウェアが潜在的に特定のコントロールシステムの設定を狙うためのものだ。

DLLは、短いコードで、同時に別のプログラムで使用することができる。しかし、複雑さや拡散能力、地政学的な意味合いという観点でIRONGATE はStuxnetとは比べ物にならないと研究者は指摘する。
IRONGATEは、検知を免れる方法において Stuxnetとは違う。Stuxnetは、標的のシステム上の様々なアンチウィルスソフトウェアの存在だけを探す。一方 IRONGATEは、 VMWareや Cuckoo Sandboxのようなサンドボックス環境を探す。
FireEyeは2015年後半に、マルウェアのオンラインスキャナーであるVirusTotal にてIRONGATE の複数のバージョンを検知したという。しかし研究者らは、2014年2つのサンプルがVirusTotalにアップロードされていたことを確認した。

IRONGATEはどこかの国が作成したと思われるような洗練されたタイプのマルウェアではないことから、この研究チームはStuxnetの作成者がIRONGATE を書いたとは考えていない。

IRONGATEは概念実証か研究プロジェクトかただのテストなのかもしれないと FireEyeは言う。よって同社はマルウェアサンプルについてより知るために、詳細を公開したのだ。

しかし疑問はまだ残っている。IRONGATEを作成したのは誰なのだろうか。
 
原文:Irongate - New Stuxnet-like Malware Targets Industrial Control Systems
※本記事は『HackerNews』の許諾のもと日本向けに翻訳・編集したものです。

The Hacker News

最終更新:8/18(木) 8:50

THE ZERO/ONE

TEDカンファレンスのプレゼンテーション動画

「水中に潜む本当の危機」
インドガリアルとキングコブラはインドの象徴ともいえる爬虫類ですが、水質汚汚濁のために存亡が危ぶまれています。環境保護者のロミュラスウィトカーがこの素晴らしい動物たちの貴重な映像をお見せして、彼らのそして私達の生活を支えている川の保全を訴えます。