IBMのセキュリティ研究開発部門X-Forceが、ウクライナを標的にしたサイバー攻撃の監視情報をリアルタイムに更新し続けている。また、検出されたマルウェアの分析レポートも公開している。
3月2日午前8時(日本時間)に公開した情報では、スロバキアのセキュリティ企業ESETが発見した新種のマルウェア「IsaacWisper」と、新たに確認された「HermeticWiper」のワーム(拡散プログラム)についてレポートした。HermeticWiperは、ロシアの侵攻(2月26日)直前に、ウクライナ国内で大量に確認されたマルウェアである。
ロシア侵攻(2月26日)の2日前(24日)に、ウクライナ全土でインターネット障害が発生 資料:NetBlocks
IsaacWisperとHermeticWiperは「ワイパー型」と呼ばれるマルウェア。金銭目的のマルウェアとは異なり、システムの機能不全やデータ消去を狙う攻撃である。公安調査庁のサーバーセキュリティ専門官、南條恭宏氏(調査第二部 第一課 上席公安調査専門職)は、「国家主体が関与・支援するサイバー攻撃は、任務達成のためコストを度外視して執拗な攻撃を繰り返す。金銭目的よりもターゲットの破壊、攪乱を目的とするものが大半」と話す(3月1日、SECURITY SHOWのセミナーで)。
ウクライナ国内の組織を標的としたワイパー型マルウェア 資料:ESET
X-Forceでは、HermeticWiperのサンプルを入手し、分析結果を公表している。
それによると、HermeticWiperはウクライナ国内の組織に対してのみ使用されているマルウェアで、パーティションマネージャ・ドライバー(epmntdrv.sys)を使用して、アクセス可能なすべての物理ドライブのマスター・ブート・レコード(MBR)やパーティション、ファイルシステムを破壊してシステムを機能不全に陥らせるという。レポートでは、システムを破壊するプロセスを詳細に分析・解説している。
X-ForceによるHermeticWiperの分析 ~作動するとプロセストークン特権を調整しSeBackupPrivilegeを有効にする 資料:X-Force
X-ForceではHermeticWiperの分析以前に、同じくウクライナ国内の組織を標的にしたワイパー型マルウェア「WhisperGate」の分析を行っている。そして、「WhisperGateとHermeticWiperにはコードの重複はない」と指摘したうえで、「破壊的なマルウェアファミリーがこれほど速いペースで登場するのは前代未聞」とし、「マルウェアを利用した破壊的なサイバー攻撃は、ハイブリッド作戦(物理的な正規戦とサイバー戦)を支援するために今後も活用される可能性が高く、さらにエスカレートし拡大し続ける可能性も高いと確信している」と述べている。
・X-Force Exchange「Ukraine/Russia Conflict(ウクライナ/ロシア紛争)」ページ
https://exchange.xforce.ibmcloud.com/collection/UkraineRussia-Conflict-56ed5d53e7aeca5d1624be2d181f7d0a
・HermeticWiperの分析レポート「IBM Security X-Force Research Advisory: New Destructive Malware Used In Cyber Attacks on Ukraine」
https://securityintelligence.com/posts/new-destructive-malware-cyber-attacks-ukraine/
・ESET「we live security」サイト
https://www.welivesecurity.com/author/esetresearch/
[i Magazine・IS magazine]