추가 산업 시설에서 발견된 Trisis 멀웨어

Dragos 및 FireEye의 사이버 보안 연구원이 소위 Triton 멀웨어를 공개했을 때 산업 안전 시스템을 대상으로 하는 것은 일종의 계시였습니다. Triton은 물리적 파괴를 유발하기 위한 맬웨어의 첫 번째 발견으로 기록되었습니다. 이 코드는 산업 안전 계장 시스템을 목표로 하여 그렇게 했지만 다행히 재난을 일으키는 데는 효과적이지 않았습니다.

"Trisis"라고도 알려진 공격은 최근까지 미스터리에 싸여 있었습니다. 공격에 대한 초기 보고는 모호했습니다. 중동 어딘가를 강타한 공격의 배후에는 국민국가 행위자가 있었을 가능성이 큽니다. 그러나 Triton은 석유 및 가스 공장에서 비상 사태의 형태로 대규모 파괴를 일으킬 가능성이 있기 때문에 경종을 울리는 역할도 했습니다.

PAS Global의 CISO인 Jason Haward-Grau는 “Triton이 히트하기 약 1주일 전에 중동에 있었습니다. 대화에서 Haward-Grau는 석유 회사의 보안 책임자에게 회사의 사이버 보안 수준에 대해 어떻게 생각하는지 물었습니다. “글쎄, 그는 아무것도 걱정할 필요가 없다고 나에게 말했다. 나는 생각했다:'와우, 당신은 걱정하지 않는 사이버 보안에서 만난 유일한 사람입니다. 나는 걱정을 멈추지 않는다. 잠을 잘 수가 없어요.”라고 Haward-Grau는 계속 말했습니다. 중동에 기반을 둔 사이버 보안 전문가는 밤에 잠을 잘 수 있는 이유를 계속해서 말했습니다. 데이터 다이오드가 있습니다. 그리고 모든 것이 잘못되면 SIS 시스템을 갖게 됩니다.”라고 보안 이사는 말했습니다. 이 시스템은 긴급 상황 발생 시 중요한 산업 운영이 안전하고 정상적으로 실패할 수 있도록 설계된 안전 계장 시스템입니다.

[ 사물 인터넷 세상 는 산업과 IoT 혁신의 교차점입니다. 예약 컨퍼런스 패스 $350 절약하고 무료 엑스포 패스 또는 보기 IoT 보안 스피커 이벤트에서.]

일주일 후 Trisis가 발생하여 사이버 보안 전문가가 Haward-Grau에 전화를 걸었습니다. “그는 내게 전화를 걸어 이렇게 말했습니다. 이제 세 가지를 모두 가지지 못해서 조금 불안합니다.'”

Trisis가 밝혀진 지 몇 달 만에 산업 사이버 보안 분야에 충격을 주었지만 멀웨어를 둘러싼 세부 정보는 드물었습니다. 이제 공격에 대한 보다 명확한 그림이 나타나고 있습니다. 사이버 보안 회사인 FireEye는 4월 10일 별도의 중요 인프라 시설에서 추가 공격을 발견했다고 확인했습니다. 작년에 사이버 보안 회사는 이 공격이 러시아에 뿌리를 둔 것으로 믿고 있다고 발표했습니다.

Mocana의 국가 안보 및 중요 기반 시설 프로그램 책임자인 Emily S. Miller는 "대부분의 소유주와 운영자에게 러시아가 배후에 있는지 아니면 핵티비스트 그룹인지는 중요하지 않습니다."라고 말했습니다. “중요한 것은 나쁜 일을 일으킬 수 있다는 것입니다. 그리고 중요한 기반 시설의 경우 인명 손실을 의미합니다.”

FireEye는 수십 가지 상용 및 맞춤형 침입 도구를 활용한 Triton의 메커니즘에 대한 보다 명확한 그림을 개발했습니다. 예를 들어 SecHack은 자격 증명 수집에 사용되었으며 Cryptcat, Bitvise, OpenSSH 및 PLINK는 백도어를 만들었습니다. 사용자 지정 도구는 공격자가 사이버 보안 보호를 우회하는 데 도움이 되었을 것입니다.

SIS 대상에 대한 성공적인 공격의 영향은 상당할 수 있습니다. PAS Global의 CEO인 Eddie Habibi는 이메일 성명에서 “악의적인 행위자는 안전 시스템의 구성을 조작하여 [비상 시 산업 시설을 보호하기 위한] 프로세스를 종료할 수 있습니다. 그는 “그러나 실제 위험은 공격자가 안전 시스템과 동일한 시설 내에서 다른 ICS 시스템에 침투하는 경우에 있다”고 덧붙였다. 그런 일이 발생하면 공격자는 산업 프로세스를 수정하여 안전한 작동 한계를 초과하여 잠재적으로 물리적 파괴, 부상 및 사망, 오염을 야기함으로써 재난의 토대를 마련할 수 있습니다. 멀웨어가 처음 식별된 시설에서 Triton은 버너 관리 시스템의 기능을 방해하여 잠재적으로 황화수소 가스 방출을 유발할 수 있었습니다.

슈나이더 일렉트릭의 장비를 표적으로 삼은 Triton은 민감한 데이터를 훔치는 것뿐만 아니라 물리적 파괴와 인명 손실을 목표로 하는 모방 공격을 유발할 수도 있습니다. 밀러는 “유사한 공격의 촉매 작용을 본 것 같다”고 말했다. 그리고 이 공격은 처음으로 발표된 Trisis 공격의 표적이 된 것으로 알려진 석유 및 가스 부문에 대한 공격에 대한 청사진을 제공할 뿐만 아니라 빌딩 자동화 시스템을 포함한 모든 유형의 중요 인프라를 제공합니다. Miller는 우크라이나의 전력망 일부를 차단하는 역할을 한 악성 코드를 언급하면서 "Black Energy를 보십시오. “그것이 히트했을 때 그것은 완전히 새롭고 참신했습니다. 이제 다크 웹에서 구입할 수 있는 것입니다.” Miller는 이러한 위험한 공격을 개발하는 적들은 온라인에서 요리사가 조리법을 도용하는 것과 유사하게 생각이 비슷한 해커와 전술을 공유할 수 있다고 말했습니다.

그러한 공격에 대한 국가의 추가 지원 가능성도 문제입니다. IOActive의 전략 서비스 부사장인 John Sheehy는 이메일 성명에서 “현재 세대의 운영 기술(OT) 시스템에서 완화되지 않은 사이버 보안 문제는 완화되지 않은 안전 문제입니다. 슈나이더 일렉트릭의 사이버 보안 및 시스템 아키텍처 이사인 앤드류 클링은 작년 인터뷰에서 슈나이더가 Triton을 업계의 "행동 촉구"로 전환하기 위한 교육 캠페인을 시작했다고 말했습니다.

FireEye 연구원들은 국가가 즉시 파괴적인 공격을 시작하기보다는 비상 작전을 지원하기 위해 그러한 악성 코드를 강화할 수 있다고 믿습니다. Trisis와 같은 공격을 설정하고 잠재적으로 오케스트레이션하려면 목표 환경에 지속적으로 액세스할 수 있도록 하는 위협 행위자의 계획과 시간 투자가 필요합니다. FireEye 연구팀은 공격자가 표적의 네트워크에서 SIS 엔지니어링 워크스테이션으로 액세스를 확장하는 데 거의 1년이 걸렸다고 생각합니다. 그동안 공격자는 예를 들어 실행 가능한 맬웨어 파일의 이름을 Microsoft 업데이트 파일처럼 보이도록 변경하는 등 추적을 숨기기 위해 주의 깊게 작업했습니다. FireEye는 Trisis 배후의 공격자가 적어도 2014년부터 활동했다고 믿습니다.

IOActive와 Miller의 전략 서비스 담당 부사장인 John Sheehy는 Triton 악성코드가 네트워크 모니터링 및 위협 사냥과 같은 방어 조치에 주로 초점을 맞추기보다는 산업 환경에 전체적인 사이버 보안 보호 기능을 적용하는 원동력이 되어야 한다고 말했습니다. Sheehy는 또한 성공적인 안전 지향 사이버 공격을 완화하는 데 도움이 될 수 있는 산업 환경에 물리적 안전 보호를 구축하는 것의 중요성을 강조했습니다. Sheehy는 "가능한 경우 설계자는 제어 시스템과 일치하지 않으므로 영향을 받지 않는 기계적 압력 릴리프 밸브 또는 기계적 거버너와 같은 직교 안전 제어 장치를 사용해야 합니다."라고 말했습니다. “오늘날의 OT 구현은 비사이버 보안 엔지니어링 제어를 사용하여 계층화된 보호 및 완화를 통해 사이버 보안 공격의 결과를 관리하는 데 중점을 두어야 합니다. 이는 프로세스 및 전체 운영에 운영 탄력성을 제공하는 데 중점을 두고 수행되어야 합니다.”

Miller는 이메일 성명에서 "영향의 근본 원인을 살펴보겠습니다. 처음부터 이러한 ICS 장치에 보안을 강화하고 내장해야 합니다."라고 말했습니다. "그렇게 할 때까지 우리는 이와 같은 훨씬 더 중요한 인프라 공격에 대해 계속 오리처럼 내버려 둘 것입니다."