ESETは6月13日(米国時間)、「Industroyer: A cyber‑weapon that brought down a power grid|WeLiveSecurity」において、電力インフラを攻撃するマルウェア「Industroyer」の亜種が出てきたことを伝えた。ロシアによるウクライナ侵略時に、ウクライナの電力供給業者を標的とした「Industroyer」の亜種が使われたという。
「Industroyer」はESETの研究者が名付けた史上初の電力インフラを攻撃するために設計されたマルウェア。ESETは2016年末にウクライナの変電所を襲い、数千世帯が約1時間停電したのが「Industroyer」であることを突き止めたとしている。
ESETが2017年に行った調査によると「Industroyer」はまず変電所のネットワーク全体に広がり、通信プロトコルに接続されている特定の産業用制御機器を探し出し、一気にすべてのブレーカーをオープンにして制御不能にしようとしたという。さらに、変電所内にあるコンピュータに対してデータの破壊を試み、保護リレー機能の一部も無効にしようとしたとのこと。
悪用された産業用制御機器用の通信プロトコルは、世界中の電力供給インフラ、輸送制御システム、水道やガスのインフラシステムにも使われており、「Industroyer」はあらゆる類似したネットワーク環境に適用させることが可能であるとESETは指摘している。
2016年にウクライナの変電所を襲ったこのサイバー攻撃は、後にアメリカ合衆国においてロシア連邦軍参謀本部情報総局(лавное разведывательное управление)が抱えるハッカー集団、74455部隊(通称サンドワーム)が関与したと報告されている(参考「Six Russian GRU Officers Charged in Connection with Worldwide Deployment of Destructive Malware and Other Disruptive Actions in Cyberspace」)。
今回、2022年2月に始まったロシアのウクライナ侵略とともにサイバー攻撃が増加したことをESETとCERT-UAの監視が確認。さらにウクライナの電力供給業者を狙ったIndustroyerの亜種「Industroyer2」の登場が確認された。今回のサイバー攻撃は未然に防がれたが、ESETはこの「Industroyer2」もサンドワームによるものと位置づけている。
ESETは、世界の重要なインフラサービスは大きなリスクにさらされており、このようなサイバー攻撃によって停電や水の供給停止、医療などの重要なデータの喪失といった日常生活や生命を脅かす危険性があると伝えている。