보안

우크라이나 전력업체를 공격한 해커, 광산과 철도업체도 공격한 듯...트렌드마이크로

Jeremy Kirk | IDG News Service 2016.02.12
지난 12월 우크라이나 전력운영업체들을 공격해 피해를 입힌 공격자들은 광산업체와 철도운영업체를 공격하기 앞서 짧게 테스트한 것으로 보인다. 트렌드마이크로는 "자체 기술 연구 결과, 블랙에너지(BlackEnergy)와 킬디스크(KillDisk)라는 이름의 악성코드가 동일 악성코드임을 보여준다고 말했다.

킬디스크는 블랙에너지보다 조금 일찍 사용된 바 있는 악성코드로 11월, 12월에 이름을 밝히지 못하는 표적을 대상으로 활동한 바 있다.

트렌드마이크로 수석 위협 연구원 카일 윌호이트는 "이 악성코드 간 겹치는 부분은 인프라스트럭처와 작명 규칙(naming conventions)이며, 그리고 사용 시간대가 어느 정도 맞아떨어진다"고 말했다.

프리카르파티아 오브렌네르고(Prykarpattya oblenergo)와 키예프 오브렌네르고(Kyiv oblenergo) 등 2개의 전력업체에 대한 사이버 공격으로 인한 우려의 목소리가 광범위하게 확산되고 있다. 보안 업계에서는 산업 제어 시스템이 해킹당하면 엄청난 피해를 입을 수 있기 때문에 경고해오고 있었다.

키예프 오르렌네르고 측은 "30개의 변전소가 오프라인이 된 이후 8만 고객들이 6시간동안 단전됐다"며, "운영을 수동 제어로 전환하고 회로 차단기를 닫아 서비스를 복구시켰다"고 말했다. 이 공격에 사용된 악성코드는 이를 발견한 보안업체인 아이사이트 파트너스에 의해 블랙에너지라 명명됐다. 이 악성코드는 러시아로 추정되는 샌드웜 팀(Sandworm Team)과 연관이 있는 것으로 알려졌다.
현재 우크라이나와 러시아 간에는 2014년 러시아 크림반도 합병으로 인해 긴장관계가 형성되어 있다.

윌호이트는 "블랙에너지는 아주 큰 광산업체를 감염시켰을 것이다. 이 악성코드는 초기 공격에서 2개의 전력업체를 감염 툴로써 사용된 동일 C&C 서버와 통신했다"고 전했다. 광산업체 또한 PC의 하드 드라이브 첫번째 섹터인 MBR(Master Boot Record)에 쓰레기 데이터로 덧씌여짐으로써 사용할 수 없게 만들도록 설계된 킬디스크의 여러 개 버전에 감염됐다.

윌호이트는 "전력업체 공격에서 추출한 샘플과 광산업체에 사용된 특정 샘플들 속에서 동일한 기능성을 목격됐다. 오히려 다른 점이 없었다"고 설명했다. 또한 킬디스크는 철도운영업체에도 영향을 준 것으로 드러났다. 트렌드마이크로는 블랙에너지가 아마도 철도 시스템도 해킹한 것으로 믿고 있다.

윌호이트는 "이번 광산 및 철도업체들의 감염은 단지 사전예비 감염일 수 있다. 공격자들은 코드 기반의 테스트만 시도하고 있다"고 경고했다. editor@itworld.co.kr
Sponsored
IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.