ウクライナの電力会社を狙ったマルウェア「Win32/SSHBearDoor.A」が確認されています。

このマルウェアを使用した攻撃によって、人口140万人の地域の半分の世帯が一時停電しており、エネルギー関連会社を狙ったサイバー攻撃の被害の甚大さを物語っています。

ESETはこのマルウェアにもいち早く対応しています。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト

「We Live Security」の記事を基に、日本向けの解説を加えて編集したものです。

2007年に登場し、2014年にも動きを見せていたマルウェア「BlackEnergy」を使用するサイバー犯罪グループが、2015年再び活動していました。



ESETはウクライナの電力会社とニュースメディアを狙ったサイバー攻撃において、BlackEnergyと呼ばれるマルウェアがKillDisk（破壊活動を行うコンポーネント）を送り込むためのバックドアとして使われたことを明らかにしました。本記事では、ESETが昨年発見したBlackEnergyの検体仕様とともに、攻撃に使われたKillDiskコンポーネントについて詳説します。さらに、攻撃者が感染させたシステムと通信を行う際、BlackEnergyに加えてこれまで知られていなかった新しいSSHのバックドアを使っていたことが分かっています。



ESETは今後も引き続きBlackEnergyの活動を監視します。



2015年におけるBlackEnergyの進化



BlackEnergy Lite（軽量版）と呼ばれる亜種は、感染したコンピューターが本当に意図した攻撃対象に含まれているかどうかを評価するために、ある判定基準を調べます。もし感染者が意図した攻撃対象であった場合は、通常サイズのBlackEnergyのドロッパー（BlackEnergyを作成、実行するプログラム）をシステムに送り込みます。



BlackEnergyはDLLペイロード（攻撃を指示するコード）のバイナリに埋め込まれたXMLの設定データを格納します。

2015年に使用されたBlackEnergyの設定ファイルの例

C&Cサーバーのリストとは別に、BlackEnergyはビルドIDと呼ばれる設定値を保持しています。この値は攻撃者がどの対象を感染させたかを把握するために設定しているものです。この文字列から、攻撃キャンペーンとその対象に関する情報を得られることがあります。



2015年に確認されたビルドIDは下記のとおりです。

2015en

khm10

khelm

2015telsmi

2015ts

2015stb

kiev_o

brd2015

11131526kbp

02260517ee

03150618aaa

11131526trk

これらのうちのいくつかは特別な意味を持っていると推測されます。「2015telsmi」にはロシア語の頭字語であるSMI―Sredstva Massovoj Informacii（ニュースメディアの会社）が含まれていると推測できますし、「2015en」のenはEnergyを意味すると考えられます。Kiev（ウクライナの地名）に至っては明らかでしょう。



KillDiskコンポーネント



2014年に登場したBlackEnergyのいくつかの亜種は感染したシステムを破壊するように設計されたdstrという名前の拡張機能を備えていました。



2015年、攻撃グループは新しいBlackEnergyのコンポーネントを使いはじめました。これらも破壊活動を行うプログラムで、ESET製品ではWin32/KillDisk.NBB, Win32/KillDisk.NBC, Win32/KillDisk.NBD（トロイの木馬）として検出されます。



このコンポーネントの主な目的はコンピューターに格納されたデータに被害を与えることです。具体的には、文書をランダムなデータで上書きし、かつOSを起動不可能にします。



BlackKillDiskコンポーネントの使用が最初に確認されたのは2015年11月のことでした。この事例では、ちょうどウクライナの地方選挙のときに多くのニュースメディア会社が被害にあいました。報告によると、攻撃の結果多くの映像素材と文書が破壊されました。



注目すべき点は、ニュースメディア会社を対象に使用されたWin32/KillDisk.NBBの亜種は、上書きあるいは削除する対象のファイル拡張子を数多く指定している点です。その総数は4000種類以上にものぼります。

ウクライナのエネルギー関連企業に対する攻撃に使用されたKillDiskコンポーネントは、それとはわずかに異なっていました。検体の分析結果によると、この新しいバージョンにおける主な変更点は下記のとおりです。

コマンドライン引数によって、破壊活動をはじめるまでの時間を指定することが出来ます

Windowsのイベントログ（アプリケーション、セキュリティ、セットアップ、システム）を削除します

削除対象のファイル拡張子は35種類に減っています

KillDiskコンポーネントの新しい亜種によって破壊されるファイルの拡張子

以上のように、攻撃者は攻撃対象に合わせてマルウェアの振る舞いを変えています。



バックドア化されたSSHサーバー



BlackEnergyの攻撃グループによって、また別の興味深い検体が使われていたことを確認しました。攻撃を受けたサーバーを調査しているときに、DropbearSSHと呼ばれるアプリケーションを発見しました。これは一見、正規のSSHサーバーのように見えます。



SSHサーバーを実行するために、攻撃者は以下の内容のVBSファイルを作成しました。



Set WshShell = CreateObject(“WScript.Shell”)

WshShell.CurrentDirectory = “C:\WINDOWS\TEMP\Dropbear\”

WshShell.Run “dropbear.exe -r rsa -d dss -a -p 6789”, 0, false



ご覧のように、SSHサーバーは6789番ポートで通信を受け付けるよう設定されます。攻撃されたネットワークにあるサーバーでSSHを実行することで、攻撃者はいつでもネットワークに侵入することが可能となっていました。



しかし実はこれだけではありません。ESETは詳細な分析の後、SSHサーバーのバイナリにバックドアを仕込まれていたことをつきとめました。

SSH サーバーのバックドア認証機能

上の画像から明らかなようにこのバージョンのDropbearSSHサーバーは、パスワードに「passDs5Bu9Te7」が設定されると認証されます。公開鍵認証についても同様に、サーバーがあらかじめ定義された定数の公開鍵を保持しており、特定の秘密鍵が使用されている場合のみ認証を行います。

SSHサーバーに組み込まれたRSA公開鍵

このマルウェアは、ESET製品にて以下の通り検出されます。

■ 対応しているウイルス定義データベースと検出名

2015年12月29日（日本時間）に配信されたウイルス定義データベースにて、下記の検出名で定義されました。 ウイルス定義データベース： 12786 (20151228) Win32/SSHBearDoor.A トロイの木馬

Win32/SSHBearDoor.Aの亜種 トロイの木馬 ※ウイルス定義データベースのバージョンが上記のバージョン以降であれば、上記の検出名で検出されます。 ※今後、現在確認されているウイルスの亜種が発生する可能性があります。ウイルス定義データベースは常に最新のものをご利用いただきますようお願いいたします。