유럽의 산업 제어 시스템(ICS)과 운영 기술(OT) 환경을 표적으로 삼는 두 가지 위험한 악성 코드 도구는 우크라이나 전쟁으로 인한 사이버 피해의 최신 징후입니다.
'라는 도구 중 하나카페카,”는 이번 주 Google의 Mandiant 보안 그룹이 러시아의 국가 지원 위협 행위자로 묘사한 러시아 국가 지원 위협 행위자인 Sandworm과 연결된 것으로 보입니다. 우크라이나의 주요 사이버 공격 부대. 핀란드에 본사를 둔 WithSecure의 보안 연구원들은 에스토니아 물류 회사와 동유럽의 기타 표적을 대상으로 한 2023년 공격에 등장한 백도어를 발견하고 이를 적극적이고 지속적인 위협으로 인식했습니다.
파괴적인 악성코드
또 다른 악성 코드 - 다소 다채롭게 이름 붙여짐 Fuxnet —는 모스크바의 하수 시스템을 모니터링하기 위해 대규모 센서 네트워크를 유지 관리하는 회사인 Moskollector에 대한 최근의 파괴적인 공격에 우크라이나 정부가 지원하는 위협 그룹 Blackjack이 사용한 것으로 추정되는 도구입니다. 공격자들은 Fuxnet을 사용하여 Moskollector 네트워크에서 총 1,700개의 센서 게이트웨이를 성공적으로 차단했으며 그 과정에서 이러한 게이트웨이에 연결된 약 87,000개의 센서를 비활성화했습니다.
최근 블랙잭 공격을 조사한 ICS 보안 회사 Claroty의 취약성 연구 책임자인 Sharon Brizinov는 "Fuxnet ICS 악성 코드의 주요 기능은 센서 게이트웨이에 대한 액세스를 손상 및 차단하고 물리적 센서도 손상시키려는 것이었습니다."라고 말했습니다. 공격의 결과로 Moskollector는 영향을 받는 수천 대의 장치 각각에 물리적으로 접근하여 개별적으로 교체해야 할 것이라고 Brizinov는 말했습니다. "모스크바 전역의 하수 시스템을 모니터링하고 운영하는 [Moskollector의] 능력을 복원하려면 전체 시스템을 조달하고 재설정해야 합니다."
Kapeka와 Fuxnet은 러시아와 우크라이나 간의 분쟁으로 인한 광범위한 사이버 피해의 예입니다. 두 국가 간의 전쟁이 2022년 XNUMX월에 시작된 이후(심지어 그 훨씬 이전에도) 양측의 해커 그룹은 서로를 대상으로 하는 다양한 악성 코드 도구를 개발하고 사용했습니다. 와이퍼, 랜섬웨어 등 다양한 도구가 본질적으로 파괴적이거나 파괴적이었습니다. 주로 양국의 중요 인프라, ICS, OT 환경을 목표로 삼았습니다.
그러나 양국 간의 오랜 갈등으로 인해 발생한 도구를 이용한 공격이 여러 차례 발생했습니다. 더 넓은 범위의 피해자에게 영향을 미쳤습니다.. 가장 주목할만한 예는 Sandworm 그룹이 원래 우크라이나에서 사용하기 위해 개발했지만 2017년에 전 세계 수만 대의 시스템에 영향을 미친 악성 코드 도구인 NotPetya입니다. 영국 국립사이버보안센터 (NCSC)와 미국 국가 안보국 (NSA)는 "Infamous Chisel"이라고 불리는 Sandworm 악성 코드 도구 세트가 전 세계의 Android 사용자에게 위협을 가하고 있다고 경고했습니다.
Kapeka: GreyEnergy를 대체하는 샌드웜?
WithSecure에 따르면 Kapeka는 공격자가 초기 단계 툴킷으로 사용하고 피해자 시스템에서 장기간 지속성을 활성화할 수 있는 새로운 백도어입니다. 이 악성코드에는 대상 컴퓨터에 백도어를 설치한 다음 스스로 제거하기 위한 드로퍼 구성 요소가 포함되어 있습니다. WithSecure의 연구원인 Mohammad Kazem Hassan Nejad는 “Kapeka는 피해자의 자산에서 유연한 백도어로 작동할 수 있는 모든 기본 기능을 지원합니다.”라고 말합니다.
그 기능에는 디스크에서 파일 읽기 및 쓰기, 셸 명령 실행, 실제 바이너리를 포함한 악성 페이로드 및 프로세스 실행이 포함됩니다. Nejad는 “초기 액세스 권한을 얻은 후 Kapeka 운영자는 백도어를 활용하여 피해자 컴퓨터에서 검색, 추가 악성 코드 배포, 공격의 다음 단계 준비 등 다양한 작업을 수행할 수 있습니다.”라고 말했습니다.
Nejad에 따르면 WithSecure는 Sandworm 및 그룹의 활동과의 연관성을 암시하는 증거를 찾을 수 있었습니다. 그레이에너지 악성코드 Nejad는 "우리는 Kapeka가 Sandworm의 무기고에 있는 GreyEnergy를 대체할 수 있다고 믿습니다"라고 말합니다. 두 악성 코드 샘플이 동일한 소스 코드에서 유래하지는 않았지만 GreyEnergy와 이전 버전 사이에 일부 중복이 있었던 것처럼 Kapeka와 GreyEnergy 간에도 일부 개념적 중복이 있습니다. 블랙 에너지. Nejad는 “이는 Sandworm이 변화하는 위협 환경에 적응하기 위해 시간이 지남에 따라 새로운 도구로 무기고를 업그레이드했을 수 있음을 나타냅니다.”라고 말했습니다.
Fuxnet: 혼란과 파괴를 위한 도구
한편 Clarity의 Brizinov는 Fuxnet을 특정 러시아산 센서 장비에 손상을 입히려는 의도의 ICS 악성코드로 식별했습니다. 이 악성코드는 화재 경보, 가스 모니터링, 조명 및 유사한 사용 사례를 위해 물리적 센서에서 데이터를 모니터링하고 수집하는 게이트웨이에 배포하기 위한 것입니다.
Brizinov는 “맬웨어가 배포되면 NAND 칩을 덮어쓰고 외부 원격 액세스 기능을 비활성화하여 게이트웨이를 차단하여 운영자가 장치를 원격으로 제어할 수 없도록 합니다.”라고 말합니다.
그러면 별도의 모듈이 쓸모 없는 M-Bus 트래픽으로 물리적 센서 자체를 플러딩하려고 시도합니다. M-Bus는 가스, 물, 전기 및 기타 계량기를 원격으로 판독하기 위한 유럽 통신 프로토콜입니다. Brizinov는 “Blackjack의 Fuxnet ICS 악성 코드의 주요 목적 중 하나는 센서 게이트웨이에 액세스한 후 물리적 센서 자체를 공격하고 파괴하는 것입니다. 이를 위해 Blackjack은 무제한의 M-Bus 패킷을 센서에 전송하여 센서를 퍼징하기로 결정했습니다. “본질적으로 BlackJack은 센서에 무작위 M-Bus 패킷을 끝없이 전송함으로써 패킷이 패킷을 압도하고 잠재적으로 센서를 손상시키고 작동할 수 없는 상태에 놓이는 취약점을 촉발할 수 있기를 바랐습니다.”라고 그는 말합니다.
이러한 공격으로부터 조직이 얻을 수 있는 주요 교훈은 보안 기본 사항에 주의를 기울이는 것입니다. 예를 들어 블랙잭은 장치의 취약한 자격 증명을 남용하여 대상 센서 게이트웨이에 대한 루트 액세스 권한을 얻은 것으로 보입니다. 이번 공격은 "좋은 비밀번호 정책을 유지하여 장치가 동일한 자격 증명을 공유하거나 기본 자격 증명을 사용하지 않도록 하는 것이 중요한 이유"를 강조합니다. "공격자가 네트워크 내부에서 측면으로 이동하고 모든 에지 장치에 악성 코드를 배포할 수 없도록 네트워크를 효과적으로 정리하고 세분화하는 것도 중요합니다."
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/ics-ot-security/dangerous-new-ics-malware-targets-orgs-in-russia-and-ukraine
