ブログ(脅威調査)

TRITONを利用する攻撃者のTTP、カスタム攻撃ツール、 検出結果、ATT&CKマッピング

概要

FireEyeは、TRITONの背後にいる攻撃者が重要インフラ施設を新たに侵害したことを確認し、対応に当たっています。

2017年12月、FireEyeは「TRITON」攻撃に関する最初の分析結果を公開しました。悪意ある攻撃者はカスタム攻撃フレームワーク「TRITON」を使い、重要インフラ施設の産業システムの安全装置を操作し、意図せずに運用を停止させたというものでした。その後、FireEyeは、攻撃者がTRITON攻撃フレームワークを構築するために必要な重要コンポーネントをどのようにして入手したのかを調査しました最新の分析によると、TRITONを使った活動は、モスクワにあるロシアの国営技術研究所によるものだと分かりました。

TRITONの侵入方法は謎に包まれています。TRITONフレームワークとそのターゲットサイトへの影響については広く議論されていますが、侵入ライフサイクルにおける戦術、技術、手順(TTP)や、いかにして組織の奥深くにある産業制御プロセスに影響を及ぼすに至ったかについては、ほとんど、あるいは全く情報が共有されていないのが現状です。TRITONフレームワークや、攻撃者が使用した侵入ツールの構築や開発の背後には、必ず「人」が存在し、そこには人による戦略、嗜好、慣習が観察できます。これらの手法について議論し、攻撃に携わった開発者やオペレーター等が侵入の際にどのようにカスタム・ツールを活用したかを明確にします。

このレポートでは、標的型攻撃ライフサイクルの初期段階において使用されたカスタムITツールに焦点を当てます。このレポートの情報は、FireEye Mandiantが実施したTRITON関連の複数のインシデントレスポンスから得られたものです。

この記事で説明する手法を使用することにより、FireEye Mandiantのインシデント対応者は、第二の重要インフラ施設で、TRITONの攻撃者による新たな侵入活動(新しいカスタム・ツール・セットを含む)を検出しました。そのため、産業制御システム(ICS)の資産所有者には、インジケーター、TTPおよび記事に含まれる検出結果の内容を活用し、ネットワーク内の防御環境の改善、関連した攻撃のハンティングを強く推奨します。


内容

  • ツールとTTP
  • ITおよびOT全体で、ICSに集中した脅威攻撃者のハンティング
  • 手法および検出の戦略
  • 付録A:検出ルール
  • 付録B:カスタム攻撃ツールの技術的分析
  • 付録C:MITRE ATT&CK JSON Raw Data
  • 侵害のインジケーター

<中略>

見解

その特異な性質と、実際にほとんど例がないということから、セキュリティ・コミュニティはICSマルウェアに注目しています。この姿勢は、さまざまな理由で有用であると同時に、防御およびインシデント対応者は、ICSに集中した侵入を検出および阻止しようとするとき、いわゆる「パイプ役」のシステムに注意を向けるべきだとFireEyeは主張しています。

2014年から2017年の間に観察した攻撃者の能力と活動において(第二の重要インフラ施設での脅威攻撃者の発見による重要性を組み合わせた結果)、コミュニティの意識を高めるために、私たちは攻撃グループのTTPとカスタム・ツール作成について把握している情報のサンプルを共有しました。脅威の攻撃者が他のターゲットのネットワークに存在していた、または存在している可能性が高いことが考えられるため、ICSの資産所有者には、このレポートに含まれている検出ルールおよびその他の情報を活用して、関連する攻撃のハンティングをお勧めします。

ITおよびOTにおけるインシデントレスポンス・サポートについては、FireEye Mandiantにお問い合わせください。TRITONやその他のサイバー脅威の詳細な分析については、FireEye Cyber Threat Intelligenceサブスクリプション・サービスをご検討ください。

FireEyeのSmartVisionテクノロジーは、ITおよびOTネットワーク内の横方向(east-west)トラフィックを監視することで、攻撃者の水平展開を探索し、機密性の高いICSプロセスに到達するリスクを低減します。攻撃者は通常、境界部の防御対策をはるかに越え、ITおよびOT両方の環境にアクセス可能なシステムを介して企業のITネットワークからOTネットワークに移動するため、この方法はICSを狙った高度な攻撃への対策に効果的です。

本ブログは、米FireEyeが公開した「TRITON Actor TTP Profile, Custom Attack Tools, Detections, and ATT&CK Mapping」の要約版です。技術詳細を含むブログ全文(英語)は次のリンクをご参照ください。
Threat Research - TRITON Actor TTP Profile, Custom Attack Tools, Detections, and ATT&CK Mapping