DarkTrace事例 産業用電力ネットワークからのデータ引き出し

Case.5 産業用電力ネットワークからのデータ引き出し

業界: エネルギー
侵入ポイント: SCADA ネットワーク
見かけ上の目的: 機密性データを引き出し、遠隔制御リンクを確立する

2015年の秋、中東の電力会社のSCADAネットワークにおいて、Darktraceは内部サーバーが侵害され外部の攻撃者にデータをリークしていることを特定しました。これが最初に明らかになったのは、Darktraceがこの内部サーバーへの特異なSSH接続を検出した時です。このサーバーはエネルギーネットワークとは一見無関係なアジアにある1台のコンピューターにつながっていました。
SSHは通常、信頼のおけるネットワーク管理者によるリモート接続に利用されるものであり、このプロトコルを使って外部と通信するというのは、この企業のネットワークにおいても非常に特異な挙動であることがわかりました。
この特異な接続を調査する中で、DarktraceはこのサーバーがICMPを使って外部サーバーと定期的に接続し、大量の情報を転送していることも突き止めました。これは極めて憂慮すべきデータの引き出し事例であり、極めて初期の段階でDarktraceがこれを検出することにより、セキュリティチームは重要な情報がネットワークから漏洩する前に被害を食い止めることができました。

Darktraceの検出結果:

  • サーバーはこれまでモデル化された動作と比較して異常に大きなボリュームの情報をネットワーク外に送信していました。
  • ネットワーク上でSSH接続を外部コンピューターから受信しているサーバーは他に存在しませんでした。
  • ICMPを使った通信もこのサーバーのアクティビティとして異常でした。
  • Darktraceのパケットキャプチャにより、外部サーバーは、工場出荷時のデフォルトとしてオンラインで開示されていたアクセスコードを使って一連のSSH接続を試 行して失敗した後、SSH認証に成功していたことが判明しました。
産業用インフラは通常、外部インターネットからの接触に対してはしっかりと保護を行っています。しかしながら、こうしたネットワークは、その重要性を考えると、注目を集める標的への攻撃に関心を持つ最も高度なサイバー攻撃者にとって、魅力的な標的になってしまっています。また、脅威のトレンドの変化は速く、シグネチャベースの防御はこのような高度な脅威のすべてを検知できる可能性は低いと言えます。
しかし、自己学習アプローチを通じて、Darktraceはこのような最新かつ高度なサイバー攻撃の発生を示す特異な接続とデータ転送をリアルタイムで発見するすることができました。