한국어 
English
Français
Deutsch
Español
Italiano
Português
日本語
Русский
COSMICENERGY: 러시아 긴급 대응 훈련과 관련이 있는 것으로 보이는 새로운 OT 악성코드
Mandiant는 러시아의 제출자가 2021년 12월 공개 악성 코드 검사 유틸리티에 업로드한 COSMICENERGY로 추적하는 새로운 운영 기술(OT)/산업 제어 시스템(ICS) 지향 악성 코드를 식별했습니다. 이 악성코드는 유럽, 중동의 전기 전송 및 배전 작업에 일반적으로 활용되는 RTU(원격 단말 장치)와 같은 IEC 60870-5-104(IEC-104) 장치와 상호 작용하여 전력 중단을 일으키도록 설계되었습니다. , 그리고 아시아.
COSMICENERGY는 거의 발견되거나 공개되지 않는 사이버 물리적 영향을 일으킬 수 있는 특수 OT 악성 코드의 최신 예입니다. COSMICENERGY를 독특하게 만드는 것은 우리의 분석에 따르면 계약자가 이를 러시아 사이버 보안 회사인 Rostelecom-Solar가 주최하는 모의 전력 중단 훈련을 위한 레드 팀 구성 도구로 개발했을 수도 있다는 것입니다. 악성 코드와 그 기능을 분석한 결과, 그 기능은 이전에 IEC-104를 통해 전기 전송 및 배포에 영향을 미치기 위해 과거에 배포된 악성 코드 변종인 INDUSTROYER 및 INDUSTROYER.V2와 같은 이전 사고 및 악성 코드에 사용된 기능과 비슷하다는 것이 밝혀졌습니다.
COSMICENERGY의 발견은 공격자가 이전 공격에서 얻은 지식을 활용하여 새로운 악성 코드를 개발함에 따라 공격적인 OT 기능 개발에 대한 진입 장벽이 낮아지고 있음을 보여줍니다. 위협 행위자가 야생에서의 표적 위협 활동을 위해 레드팀 도구와 공개 공격 프레임워크를 사용한다는 점을 고려할 때 COSMICENERGY는 영향을 받는 전력망 자산에 그럴듯한 위협을 가한다고 믿습니다. IEC-104 호환 장치를 활용하는 OT 자산 소유자는 COSMICENERGY의 무모한 배포에서 잠재력을 선점하기 위한 조치를 취해야 합니다.
COSMICENERGY의 기능과 전반적인 공격 전략은 2016년 INDUSTROYER 사건을 연상시키는 것으로 보입니다. 이 사건은 RTU와 상호 작용하기 위해 IEC-104 ON/OFF 명령을 발행했으며, 한 분석에 따르면 MSSQL 서버를 OT에 액세스하기 위한 도관 시스템으로 사용했을 수 있습니다. 공격자는 이 액세스를 활용하여 원격 명령을 보내 전력선 스위치 및 회로 차단기의 작동에 영향을 주어 전력 중단을 일으킬 수 있습니다. COSMICENERGY는 PIEHOP과 LIGHTWORK로 추적하는 두 가지 파생 구성요소를 통해 이를 달성합니다(기술 분석은 부록 참조).
COSMICENERGY에는 검색 기능이 없습니다. 이는 공격을 성공적으로 실행하려면 맬웨어 운영자가 MSSQL 서버 IP 주소, MSSQL 자격 증명 및 대상 IEC-104 장치 IP 주소와 같은 환경 정보를 얻기 위해 일부 내부 정찰을 수행해야 함을 의미합니다. 우리가 얻은 LIGHTWORK 샘플에는 하드코딩된 8개의 IEC-104 정보 개체 주소(IOA)가 포함되어 있습니다. 이는 일반적으로 장치의 입력 또는 출력 데이터 요소와 상관 관계가 있으며 RTU 또는 릴레이 구성의 전력선 스위치 또는 회로 차단기에 해당할 수 있습니다. 그러나 IOA 매핑은 제조업체, 장치, 심지어 환경에 따라 다른 경우가 많습니다. 이러한 이유로 행위자가 의도한 특정 행동은 대상 자산에 대한 추가 지식이 없으면 불분명합니다.
COSMICENERGY를 분석하는 동안 샘플이 "Solar Polygon"이라는 프로젝트와 연결된 모듈을 사용한다는 코드의 주석을 식별했습니다(그림 2). 우리는 고유한 문자열을 검색하고 2019년 정부 보조금을 받아 사이버 보안 전문가 교육과 전력 중단 및 긴급 상황 수행을 시작한 러시아 사이버 보안 회사인 Rostelecom-Solar가 개발한 사이버 범위(일명 다각형)와 일치하는 단일 항목을 식별했습니다. 대응 연습.
COSMICENERGY의 출처나 목적을 확인할 수 있는 충분한 증거는 확인되지 않았지만 Rostelecom-Solar 또는 관련 당사자가 에너지 그리드 자산에 대한 실제 공격 시나리오를 재현하기 위해 악성 코드를 개발했을 가능성이 있다고 믿습니다. 이 악성코드는 2021년 러시아 에너지부와 협력하여 Rostelecom-Solar가 주최하거나 2022년 상트페테르부르크 국제 경제 포럼(SPIEF)을 위해 주최한 훈련을 지원하는 데 사용되었을 가능성이 있습니다.