에너지 업계 만 대상이 아니었다 "BlackEnergy"공격

공격 캠페인 ' BlackEnergy "관련 트렌드 마이크로가 입수 한 새로운 연구 결과에서 산업용 네트워크 에 대한 공격은 당초 파악하고보다 큰 범위에 이르고있는 것으로 밝혀졌습니다. 당사 조사 결과, 우선 2015 년 12 월 우크라이나의 전력 발전소 2 곳에서 발생한 가동 중단의 배후에있는 공격자가 마찬가지로 우크라이나 국내 광업 회사 및 주요 철도 회사도 표적으로하고 있던 가능성 수 있습니다.

이것은 "BlackEnergy"에너지 산업 이외도 표적으로 진화하고 있었다는 것을 보여줍니다. 지금이 위협은 공공 및 민간을 포함한 모든 업종의 기업과 조직이주의해야 할 것이 있습니다. 공격자의 동기에 대해서는 추측 영역을 벗어나지 않지만, 어떤 정치적 목적 우크라이나 국내의 중요한 공공 인프라에 큰 피해를주는 것을 노리고 있다고 생각됩니다.

이번 조사 결과는 "BlackEnergy」에 의한 사전 조사와 정보 탐색 도구 하드 디스크 데이터 삭제 도구"KillDisk "동종 기능의 악성 프로그램을 포함하여 그 이외에도 눈을 돌리는 것으로 밝혀졌습니다. 당사의 수석 위협 연구원과 필자는 그 사례에 관련한 새로운 감염 및 검체 등의 탐험을 시작했습니다. 그 결과 "BlackEnergy"최신 공격 캠페인에서는 Prykarpattya Oblenergo 사나 Kyivoblenergo 사 등 발전소 이외에도 표적으로하고 있었던 것이 확인되었습니다.

"공개 출처 정보 (OSINT)"및 당사 클라우드 형 보안 기반 " Trend Micro Smart Protection Network (SPN) "등의 데이터에서 "BlackEnergy」나 「KillDisk"관련 검체가 우크라이나의 주요 광업 회사 나 대기업 철도 회사에도 사용되고있는 것으로 확인되었습니다. 또한 이러한 광업 회사와 철도 회사에 감염 정보에서 위의 전력 발전소 2 개소에서 확인 된 것과 같은 "BlackEnergy」나 「KillDisk"인프라가 이용되고 있었을 가능성도 확인되고 있습니다 .

■ 대형 광업 회사에서 확인 된 악성 프로그램

당사의 조사 결과 "BlackEnergy"에서 우크라이나의 전력 발전소에 이용 된 악성 프로그램의 검체와 우크라이나의 주요 광산 회사에 사용되었다고하는 검체의 쌍방이 중복 된 것으로 밝혀 되었습니다. "amdide.sys"(SHA1 : 2D805BCA41AA0EB1FC7EC3BD944EFD7DBA686AE1)라는 이름의 검체가 그 것이고 이것은 2015 년 11 월에 표적 감염에 이용되고 있던 것 같습니다. 우크라이나의 전력 발전소와 우크라이나의 광산 회사와 관련된 새로운 검체는 다음과 같습니다.

• aliide.sys : C7E919622D6D8EA2491ED392A0F8457E4483EAE9
• acpipmi.sys : 0B4BE96ADA3B54453BD37130087618EA90168D72

당사는 동일한 기업에 착탄 한 것으로 보인다 aliide.sys (SHA1 : C7E919622D6D8EA2491ED392A0F8457EA240)이라는 또 하나의 검체 확인했습니다. "BlackEnergy"검체에서 사용되는 파일 이름은 우크라이나의 전력 발전소에 사용되는 좋은 샘플 중 하나 중복 알 수 있습니다. 이 "BlackEnergy"라는 검체는 우크라이나의 전력 발전소에 대한 공격으로 확인 된 검체와 완전히 동일한 기능을 탑재하고 있습니다. 또한,이 샘플도 같은 공격 기반을 이용하고있는 것도 확인되었습니다. 여기에서는 88 [] 198 [.] 25 [.] 92 : 443 / fHKfvEhleQ / maincraft / derstatus.php에 액세스하는 것이 확인되고 있습니다.

"BlackEnergy"의 것으로 확인할 수 있으며, 관련 있다고 생각되는 다른 시편에는 다음의 것도 포함됩니다.

• adpu320.sys : 2D805BCA41AA0EB1FC7EC3BD944EFD7D
• acpipmi.sys : 0B4BE96ADA3B54453BD37130087618EA

위의 검체는 모두 "146 [] 0 [.] 74 [.] 7 : 443 / l7vogLG / BVZ99 / rt170v / solocVI / eegL7p.php"에 통신하고 있으며,이 통신 업체는 우크라이나 전력 발전소를 노린 사례에서 사용 된 명령 및 제어 (C & C) 서버의 하나이기도합니다. 전술 한 이러한 모든 "BlackEnergy"관련 검체는 2015 년 11 월부터 12 월에 걸쳐 이용되고 있었다고 생각됩니다.

또한이 광업 회사는 "KillDisk"의 여러 변종 공격도받은 것 같습니다. 전력 발전소에 대한 공격에 이용 된 것과 완전히 동일한 검체가 광업 회사에 사용 된 것은 확인되지 않지만 특정 일부의 검체는 우크라이나의 전력 발전소에서 확인 된 것 하면 차이는 거의없고, 똑같은 기능을 가지고 있습니다.

우크라이나의 전력 발전소에서 발생한 사례 "KillDisk"와 같은 검체도 이번 조사에서 확인하고 있습니다. 다음의 2 개의 검체가 그 점에서 주목할 만합니다.

• vchost.exe (SHA1 : 8AD6F88C5813C2B4CD7ABAB1D6C056D95D6AC569)
• crab.exe (SHA1 : 16f44fac7e8bc94eccd7ad9692e6665ef540eec4)

우크라이나의 전력 발전소에서 발생한 사례에서 확인 된 두 표본은 우크라이나의 주요 광업 회사에 이용 된 수 있습니다.

■ 우크라이나의 주요 철도 회사에서도 같은 악성 프로그램을 확인

우크라이나의 광산 회사에 대한 공격뿐만 아니라 우크라이나 국영 철도의 일부이기도 한 대형 철도 회사에 대한 공격에서도 "KillDisk"관련 검체를 확인했습니다.

• "tsk.exe"(SHA1 : f3e41eb94c4d72a98cd743bbb02d248f510ad925)

이 검체는 "KillDisk"로 식별되고, 발전소 및 철도 회사 모두에 대한 공격에 이용되고 있던 것 같습니다. 이 점에서도 철도 회사에 대한 공격은 우크라이나의 전력 발전소에 감염된 사례의 연장처럼 보이지만,이 철도 회사의 시스템에 "BlackEnergy"가 들어가 있던 증거는 확인되지 않습니다 . 네트워크의 다른 위치에 있었다 가능성을 생각할 수 있습니다.

■ 고찰

이번 조사에서 우리는 광업 회사와 철도 회사에 피해와 발전소에 대한 공격은 동일한 공격자가 관여하는 것으로 추측하고 있습니다. 이러한 사례는 이용 된 악성 프로그램 공격 인프라, 파일의 명명, 악성 프로그램이 사용 된 타이밍 등 여러면에서 중복이 확인되고 있기 때문입니다. 이런 점에서 동일한 공격자가 우크라이나 국내에서 전력 발전소뿐만 아니라 대기업의 광업 회사와 철도 회사를 대상으로하고 있었다고 추측하기에 이르고 있습니다.

이러한 사례의 배경으로는 많은 가능성을 생각할 수 있지만, 특히 다음의 3 つがあげ 수있을 것이다. 첫 번째는 발전, 광업, 철도 등의 시설을 크고 지속적으로 마비시킬 우크라이나 전역을 불안정하게 할 수 공격자의 목적이다 가능성입니다. 다른 하나는 사전에 몇몇 다른 중요한 인프라에 악성 프로그램을 배포함으로써 어떤 시스템이 가장 취약한지를 판단한 후, 그 시스템을 장악하는 차기 공격을 노리고 있었다 가능성입니다 . 세 번째로는 광업 회사와 철도 회사에 감염 반대로 사전 감염의 시도이며,이를 통해 공격 도구 등의 코드가 제대로 작동하는지 테스트하고 있었다 가능성입니다.

어떤 가능성해도, 이러한 산업 제어 시스템 (ICS)를 표적으로 한 공격은 실제 사회에서 돌이킬 수없는 재앙으로 이어질 가능성도 최대한의주의를 기울여 대처해야합니다 . 또한 이번과 같은 연속적인 사례에서도 이런 종류의 공격은 기업이나 조직의 업종, 규모에 관계없이 표적이 될 가능성이있는 것도 부각되었습니다. 또한 공격 캠페인 'BlackEnery "는 ("KillDisk'에 따르면) 하드 디스크 삭제하는 파괴적인 기능이 탑재되어 있기 때문에 "세상에 알려진 유명한 기업이 아니기 때문에 표적이 될 수 없다"는 잘못된 보안 의식을 가진 기업이나 조직이이 같은 피해를당한 경우에는 조업 불능 및 비즈니스 연속성을 유지할 수없는 사태에 빠질 위험성을 보여줍니다.

2015 년에 발생한 공격 캠페인 'BlackEnergy "조사에 대한 자세한 내용은 여기 자료 (영문)를 참조하십시오.