킬디스크는 블랙에너지보다 조금 일찍 사용된 바 있는 악성코드로 11월, 12월에 이름을 밝히지 못하는 표적을 대상으로 활동한 바 있다.
트렌드마이크로 수석 위협 연구원 카일 윌호이트는 "이 악성코드 간 겹치는 부분은 인프라스트럭처와 작명 규칙(naming conventions)이며, 그리고 사용 시간대가 어느 정도 맞아떨어진다"고 말했다.
프리카르파티아 오브렌네르고(Prykarpattya oblenergo)와 키예프 오브렌네르고(Kyiv oblenergo) 등 2개의 전력업체에 대한 사이버 공격으로 인한 우려의 목소리가 광범위하게 확산되고 있다. 보안 업계에서는 산업 제어 시스템이 해킹당하면 엄청난 피해를 입을 수 있기 때문에 경고해오고 있었다.
키예프 오르렌네르고 측은 "30개의 변전소가 오프라인이 된 이후 8만 고객들이 6시간동안 단전됐다"며, "운영을 수동 제어로 전환하고 회로 차단기를 닫아 서비스를 복구시켰다"고 말했다. 이 공격에 사용된 악성코드는 이를 발견한 보안업체인 아이사이트 파트너스에 의해 블랙에너지라 명명됐다. 이 악성코드는 러시아로 추정되는 샌드웜 팀(Sandworm Team)과 연관이 있는 것으로 알려졌다.
현재 우크라이나와 러시아 간에는 2014년 러시아 크림반도 합병으로 인해 긴장관계가 형성되어 있다.
윌호이트는 "블랙에너지는 아주 큰 광산업체를 감염시켰을 것이다. 이 악성코드는 초기 공격에서 2개의 전력업체를 감염 툴로써 사용된 동일 C&C 서버와 통신했다"고 전했다. 광산업체 또한 PC의 하드 드라이브 첫번째 섹터인 MBR(Master Boot Record)에 쓰레기 데이터로 덧씌여짐으로써 사용할 수 없게 만들도록 설계된 킬디스크의 여러 개 버전에 감염됐다.
윌호이트는 "전력업체 공격에서 추출한 샘플과 광산업체에 사용된 특정 샘플들 속에서 동일한 기능성을 목격됐다. 오히려 다른 점이 없었다"고 설명했다. 또한 킬디스크는 철도운영업체에도 영향을 준 것으로 드러났다. 트렌드마이크로는 블랙에너지가 아마도 철도 시스템도 해킹한 것으로 믿고 있다.
윌호이트는 "이번 광산 및 철도업체들의 감염은 단지 사전예비 감염일 수 있다. 공격자들은 코드 기반의 테스트만 시도하고 있다"고 경고했다. editor@itworld.co.kr