ウクライナのコンピュータ緊急対応チームであるCERT-UA (Computer Emergency Response Team of Ukraine)は4月12日(現地時間)、「Кібератака групи Sandworm (UAC-0082) на об’єкти енергетики України з використанням шкідливих програм INDUSTROYER2 та CADDYWIPER (CERT-UA#4435)」において、ロシアのサイバー犯罪グループがウクライナのエネルギー関連施設などを標的として破壊的なサイバー攻撃を行っているとして警告を行った。
攻撃は「Sandwarm」と呼ばれるグループによるもので、産業制御システムを破壊する「INDUSTROYER2」と呼ばれるマルウェアや、PCのストレージを破壊する「CADDYWIPER」と呼ばれるマルウェアが使われているという。
CERT-UAの報告では、少なくとも2回の攻撃が行われ、そのうちの1回はウクライナがヨーロッパの送電網に参加した数日後に実施されたという。攻撃を実施したSandwarmは、米国がロシアの軍事諜報機関のユニット74455として特定しているグループであり、このサイバー攻撃がロシアによる軍事侵攻を支援するためのものであることは明確だ。
ロシアのサイバー犯罪グループは、2015年および2016年にもウクライナのエネルギー施設に対してサイバー攻撃を仕掛けている。その際に用いられたマルウェアは「INDUSTROYER」と呼ばれるもので、今回の攻撃に使われたマルウェアは2015/2016年のものとの類似性から「INDUSTROYER2」と名付けられた。
CADDYWIPERはロシアのウクライナ侵攻が開始された後に登場したマルウェアで、PCのストレージのパーティション情報を破壊してデータを読み取り不能にするものである。ネットワークを介して自己増殖的に被害を拡大させる機能を持つことがわかっている。
幸いにして、攻撃はESETとMicrosoftの協力によって無力化されたという。CERT-UAの報告には具体的な侵害の痕跡(IOC)が掲載されている。
-
Sandwarmによるサイバー攻撃の痕跡 引用:CERT-UA
