위협 행위자는 특히 에너지 공급업체에 임박한 위협을 제기하는 Windows 워크스테이션뿐만 아니라 다양한 ICS 장치를 손상시키기 위해 사용자 지정 모듈을 개발했습니다.
위협 행위자는 널리 사용되는 다수의 산업 제어 시스템(ICS) 장치를 인수할 수 있는 도구를 구축했으며 배포할 준비가 되어 있으며, 이는 핵심 인프라 제공자, 특히 에너지 부문의 제공자에게 문제를 야기한다고 연방 기관이 경고했습니다.
In 공동 자문, 에너지부(DoE), 사이버보안 및 기반시설 보안국(CISA), 국가안보국(NSA) 및 FBI는 "특정 APT(Advanced Persistent Threat) 행위자"가 이미 경보에 따르면 여러 산업 제어 시스템(ICS)/감독 제어 및 데이터 수집(SCADA) 장치에 대한 시스템 액세스.
기관에 따르면 APT가 개발한 맞춤형 도구를 사용하면 OT(운영 기술) 네트워크에 액세스하면 영향을 받는 장치를 검색, 손상 및 제어할 수 있습니다. 이것은 권한 상승, OT 환경 내에서의 측면 이동, 중요한 장치 또는 기능의 중단을 포함한 여러 가지 사악한 행동으로 이어질 수 있다고 그들은 말했습니다.
위험에 처한 장치는 다음과 같습니다. TM251, TM241, M258, M238, LMC058 및 LMC078을 포함하되 이에 국한되지 않는 Schneider Electric MODICON 및 MODICON Nano PLC(프로그램 가능 논리 컨트롤러); OMRON Sysmac NEX PLC; 및 OPC UA(Open Platform Communications Unified Architecture) 서버가 있다고 에이전시는 말했습니다.
APT는 또한 ASRock의 알려진 취약점에 대한 익스플로잇을 사용하여 IT 또는 OT 환경에 있는 Windows 기반 엔지니어링 워크스테이션을 손상시킬 수 있습니다. 마더 보드 그들은 말했다.
주의해야 할 경고
연방 기관은 종종 사이버 위협에 대한 권고를 발표하지만 한 보안 전문가는 다음과 같이 촉구했습니다. 중요 인프라 제공업체 이 특별한 경고를 가볍게 여기지 마십시오.
Tripwire의 전략 담당 부사장인 Tim Erlin은 Threatpost에 보낸 이메일에서 "실수하지 마세요. 이것은 CISA의 중요한 경고입니다."라고 말했습니다. “산업 조직은 이 위협에 주의를 기울여야 합니다.”
그는 경보 자체가 특정 ICS 장치에 대한 액세스 권한을 얻기 위한 도구에 초점을 맞추고 있지만 더 큰 그림은 위협 행위자가 발판을 마련하면 전체 산업 제어 환경이 위험에 처한다는 것입니다.
Erlin은 "공격자는 관련된 산업 제어 시스템에 액세스하기 위해 초기 손상 지점이 필요하며 조직은 그에 따라 방어를 구축해야 합니다."라고 조언했습니다.
모듈식 도구 세트
기관은 APT가 개발한 모듈식 도구에 대한 분석을 제공하여 "타겟 장치에 대해 고도로 자동화된 익스플로잇"을 수행할 수 있다고 말했습니다.
그들은 도구를 대상 ICS/SCADA 장치의 인터페이스를 미러링하는 명령 인터페이스와 함께 가상 콘솔을 가지고 있다고 설명했습니다. 모듈은 표적 장치와 상호 작용하여 저숙련 위협 행위자에게도 고급 기능을 에뮬레이트할 수 있는 능력을 제공한다고 기관은 경고했습니다.
APT가 모듈을 사용하여 수행할 수 있는 작업에는 대상 장치 검색, 장치 세부 정보에 대한 정찰 수행, 대상 장치에 악성 구성/코드 업로드, 장치 콘텐츠 백업 또는 복원, 장치 매개변수 수정이 포함됩니다.
또한 APT 공격자는 ASRock 마더보드 드라이버 AsrDrv103.sys의 취약점을 설치하고 악용하는 도구를 사용할 수 있습니다. CVE-2020-15368. 이 결함은 Windows 커널에서 악성 코드의 실행을 허용하여 IT 또는 OT 환경의 측면 이동을 촉진하고 중요한 장치 또는 기능의 중단을 촉진합니다.
특정 기기 타겟팅
액터는 또한 다른 사람을 공격하는 특정 모듈을 가지고 있습니다. ICS 기기. Schneider Electric용 모듈은 일반 관리 프로토콜 및 Modbus(TCP 502)를 통해 장치와 상호 작용합니다.
이 모듈은 행위자가 로컬 네트워크의 모든 Schneider PLC를 식별하기 위한 빠른 스캔 실행을 포함하여 다양한 악의적인 행동을 수행할 수 있도록 합니다. 무차별 대입 PLC 암호; PLC가 네트워크 통신을 수신하지 못하도록 차단하기 위해 DoS(서비스 거부) 공격을 수행합니다. 또는 권고에 따르면 PLC를 충돌시키기 위해 "패킷 오브 데스(packet of death)" 공격을 수행하는 것.
APT 도구의 다른 모듈은 OMRON 장치를 대상으로 하며 네트워크에서 해당 장치를 검색하고 다른 손상 기능을 수행할 수 있다고 기관은 말했습니다.
또한 OMRON 모듈은 경고에 따라 HTTP 및/또는 HTTPS(Hypertext Transfer Protocol Secure)를 통해 위협 행위자가 연결하고 명령(예: 파일 조작, 패킷 캡처 및 코드 실행)을 시작할 수 있도록 하는 에이전트를 업로드할 수 있습니다.
마지막으로 OPC UA 장치의 손상을 허용하는 모듈에는 OPC UA 서버를 식별하고 기본 또는 이전에 손상된 자격 증명을 사용하여 OPC UA 서버에 연결하는 기본 기능이 포함되어 있다고 기관은 경고했습니다.
권장 완화
기관은 APT 도구에 의한 시스템 손상을 방지하기 위해 중요한 인프라 제공업체에 대한 광범위한 완화 목록을 제공했습니다.
Tripwire의 Erwin은 “이것은 패치를 적용하는 것만큼 간단하지 않습니다. 그는 목록에서 영향을 받는 시스템을 격리하는 것을 언급했습니다. 끝점 감지, 구성 및 무결성 모니터링 사용 로그 분석은 조직이 시스템을 보호하기 위해 즉시 취해야 하는 주요 조치입니다.
연준은 또한 중요 인프라 제공업체가 IT, 사이버 보안 및 운영의 모든 이해 관계자가 알고 필요한 경우 신속하게 구현할 수 있는 사이버 사고 대응 계획을 수립하고 다른 완화 조치 중에서 파괴적인 공격 시 보다 빠른 복구를 위해 유효한 오프라인 백업을 유지할 것을 권장했습니다. .
클라우드로 이동하시겠습니까? 당사의 자산을 보호하는 방법에 대한 확실한 조언과 함께 새로운 클라우드 보안 위협을 발견하십시오. 무료로 다운로드 가능한 eBook, "클라우드 보안: 2022년 예측." 편리한 체크리스트를 포함하여 조직의 주요 위험과 과제, 방어를 위한 모범 사례, 동적 컴퓨팅 환경에서 보안 성공을 위한 조언을 살펴봅니다.
