核施設を狙うマルウェアStuxnetの亜種が発見

2010年に世界中を騒がせたマルウェアStuxnetの亜種が発見されています。

New ICS Malware Irongate Channels Stuxnet to Scam SCADA Systems - Security Intelligence
https://securityintelligence.com/news/new-ics-malware-irongate-channels-stuxnet-to-scam-scada-systems/
New Stuxnet-like Malware Targets Industrial Control Systems - The Hacker News
http://thehackernews.com/2016/06/irongate-stuxnet-malware.html

制御系のICSシステム、SCADAシステムを狙うマルウェアが発見されています。このマルウェアは2010年に発見されたSIEMENS社の制御系システムを標的としたマルウェア、Stuxnetと同様の手法を用いることで注目されています。
セキュリティベンダーFireEye Labs Advanced Reverse EngineeringはPyInstallerを利用したドロッパー型のマルウェアを調査している間にこのマルウェアを発見し「IRONGATE」と名付け、SIEMENS社の制御系システムを標的とするものとしています。

このマルウェアはシミュレートされた環境でのみ動作するもので、一種のプルーフ・オブ・コンセプトと考えられます。稼動中の実際の環境に影響を及ぼすほどの機能はありません。
注目を集めたのは、IRONGATEがStuxnetと同じ振る舞いを見せたことです。Stuxnetマルウェアはイランの核施設を攻撃するために米国とイスラエルによって開発されたものと見られています。Stuxnetは、複数の施設のウラニウム濃縮用分離機に被害を与えています。
IROGATEはStuxnetと同様に、中間者攻撃(MitM)の手法を利用します。PLC(プログラマブルロジックコントローラ)とソフトウェアモニタリング処理の間に入り込み、攻撃する前に防御手段の有無を確認するとともに自らの痕跡を隠します。
IRONGATEはまた、中間者攻撃を精巧させるため、元々存在していたDLL(ダイナミックリンクライブラリ)を自らのものに入れ替えることで、特定の制御システムへの攻撃を可能にします。

いずれにせよ、IRONGATEにはStuxnetほどの複雑な機能や特定の国を標的とすることを示すような動作はありません。Stuxnetは検知から逃れるためにアンチウイルスソフトウェアを探しますが、IRONGATEはVMWareやCuckoo Sandboxといったサンドボックス環境を探します。
サンドボックス環境があればマルウェアは沈黙しますが、もし無ければ実行ファイルscada.exeをデプロイします。
FireEyeによれば、2015年下半期までに複数のIrongateの亜種がVirusTotalに登録され、既に2014年9月の時点で二つの亜種が確認されています。
同リサーチチームは、IRONGATEはStuxnetとは別の開発者が作ったものと結論付けています。

SCADAシステムや組み込み機器を狙うマルウェアが登場し、さらにその亜種も登場する現在、IoTへのセキュリティ脅威は年々高まっているといえます。