イラン最大の国営鉄鋼会社、フーゼスタン・スチール・カンパニーなどイランの鉄鋼企業に対してサイバー攻撃が行われたのは今年6月27日のことだった。このサイバー攻撃でイランの鉄鋼産業は一時、生産停止に追い込まれるなどの被害を受けた。このサイバー攻撃について、ツイッターのあるアカウントが攻撃を表明し、その詳細を画像と動画で明らかにしている。
出火する工場内部の画像や動画を公開
Gonjeshke Darandeと名乗るツイッターアカウントは2022年6月27日に以下の投稿をした。
今日、私たち『Gonjeshke Darande』は、IRGC および Basij と提携しているイランの鉄鋼産業に対してサイバー攻撃を実行しました
これらの企業は国際的な制裁を受けているにもかかわらず事業を継続しています。 サイバー攻撃はイスラム共和国の侵略に呼応したもので、個人に被害が及ばないように慎重に実行されました
そして、出火する工場内部を撮影した動画や画像を掲載してサイバー攻撃の様子を公開した。さらに今年7月7日の投稿では、「IRGCやBasijと提携しているイランの鉄鋼業界に対するサイバー攻撃は制裁を受けているこれら企業にダメージを与えた」なとど投稿し、イランの鉄鋼企業がIRGCと提携している証拠だとして、顧客との取引慣行に関する内部文書や電子メールとされる文書を公開した。ちなみにIRGCはイスラム革命防衛隊、Basijはイスラム革命防衛隊の部隊を指しBasijはアメリカ、バーレーン、サウジアラビアがテロ組織に指定しているという。また、IRAN WATCHによるとフーゼスタン・スチール・カンパニーは2019年に日本政府よりミサイル・核兵器の拡散懸念対象に指定され、2020年にはアメリカ財務省外国資産管理局(OFAC)が管理する制裁リスト入りしている。
このツイッターアカウントは昨年10月26日には国営イラン石油製品流通会社(NIOPDC)に対してサイバー攻撃を行ったことを表明している。イランではガソリンスタンドでガソリンを購入する際、国が発行している電子決済用のスマートカードを使用しているが、スマートカードが昨年10月26日にイラン全土で使えなくなり、ガソリンスタンドが大混乱する事態が起きた。このツイッターアカウントは、昨年10月26日にサイバー攻撃を行ったことを表明した後、昨年11月10日にはイランのガソリンスマートカードのコンピューターシステムへのサイバー攻撃の動画を明らかにしYouTubeのリンクを掲載、その際の文面には「これは、私たちのグループGonjeshke Darandeが10月26日に実行した」とある。
このツイッターアカウントのGonjeshke Darandeはペルシア語にもとづいており、欧米のサイバーセキュリティリサーチャーやメディアは英語表記でこのグループをPredatory Sparrowと呼んでいる。そしてGonjeshke DarandeのツイッターアカウントやテレグラムのアカウントにはSparrow(スズメ)をデザインしたとみられるロゴが掲載されている。
インドラとPredatory Sparrowの関係は?
今年7月にアルバニアの公共オンラインサービスが大規模なサイバー攻撃に見舞われ、アルバニア政府はイランによるサイバー攻撃だとしてイランとの国交の断絶に発展した。アルバニアの公共オンラインサービスへのサイバー攻撃ではHomeLand Justiceというテレグラムチャンネルにリンクしたウェブサイトがアルバニア政府へのサイバー攻撃の功績を主張、そのウェブサイトやテレグラムチャンネルにはワシをあしらったロゴが使用されていた。ワシはスズメを捕食することから、アルバニアへのサイバー攻撃はイランに対するPredatory Sparrowのサイバー攻撃に対する報復との見方がなされている。
アルバニア国内にはイラン反体制派組織であるMKO(PMOI、MEK)のメンバーらが居住しており、イランはイランに対する一連のサイバー攻撃にイスラエルやMKOが関与していると見ているようだ。イランでは昨年7月には鉄道と道路都市開発省のシステムに対してMeteorというワイパーマルウェアを使用したサイバー攻撃が行われており、このサイバー攻撃についてサイバーセキュリティ企業のチェック・ポイント・リサーチはインドラというグループによる攻撃の可能性を明らかにしている。チェック・ポイント・リサーチは、今年6月にイランの鉄鋼企業に対するサイバー攻撃で使われた実行可能ファイル「Chaplin.exe」は昨年7月にイランの鉄道システムを攻撃したワイパーマルウェア「Meteor」の亜種であるとし、今年6月の攻撃にもインドラが関与している可能性を示唆しているが、インドラとPredatory Sparrowの関係性については触れておらず不明だ。
■出典・参考
https://www.iranwatch.org/iranian-entities/khouzestan-steel-company
https://www.cshub.com/attacks/news/iotw-irans-steel-industry-targeted-by-hacktivists
https://research.checkpoint.com/2021/indra-hackers-behind-recent-attacks-on-iran/
Chaplin is not full of debug logs as its predecessors but does contain meaningful RTTI information that helped us catch it.
It begins its execution by disconnecting the network adapters, logging off the user, and executing another binary in a new thread — "Screen.exe". >>— Check Point Research (@_CPResearch_) June 28, 2022
