Symantecによると、このグループはエネルギー業界に対する攻撃を実施してきており、その攻撃は少なくとも2011年にまでさかのぼれるという。Energetic Bearはロシアのハッキンググループであると一般的に考えられているが、Symantecによると同グループが使用しているマルウェアのコードにはロシア語の他にフランス語の文字列もあるため、「いずれかの言語は意図的に混乱させるためのものである可能性がある」という。
Symantecによると、さらに困ったことに攻撃者が標的となるネットワークやシステムの情報を収集するという諜報段階や、後のキャンペーンで使用する認証情報の取得が終わった後は、妨害工作へと続くケースが多いという。同社は、「最近のキャンペーンによって、将来より破壊的な行動に利用できるような、OSへのアクセス手段を攻撃者が手にした可能性もある」と述べ、このキャンペーンが新たな段階の始まりとなる可能性について警告している。
Symantecのレポートでは「この攻撃で最も懸念すべきエビデンス」が画面コピー、おそらくはOSのデータを捕捉した画面の使用だと記されている。US-CERTのレポートはさらに踏み込んで、「ある事例において、攻撃者は発電施設内の制御システムからのデータ出力が保持されている企業ネットワークにつながっているワークステーションやサーバにアクセス」し、その画面イメージを取得したと述べている。なお、US-CERTのレポートには、企業が攻撃から身を守るために実施するべき対策にまつわる数多くの助言も含まれている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
