이란의 철강 제조 산업은 이전에 이란의 철도 시스템에 영향을 미친 지속적인 사이버 공격의 피해자입니다.
지난주 이란 철강 공장에 대한 사이버 공격에 사용된 악성 코드는 작년에 이란의 철도 시스템을 폐쇄한 공격과 관련이 있습니다. 두 경우 모두 맬웨어 변형이 물리적 및 중요 인프라에 영향을 미치는 데 사용되었습니다. 체크포인트 리서치 보고서.
문맥상의 단서 및 재활용된 농담과 결합된 코드의 중복은 Indra라고 불리는 동일한 위협 행위자가 이란의 인프라에 영향을 미치는 공격의 배후에 있음을 나타냅니다.
의심되는 동기
27월 XNUMX일, Khuzestan Steel Corporation의 철강 빌렛 생산 라인이 오작동하기 시작했습니다. 보고서에 따르면 불꽃이 날아가 식물의 심장에 불이 붙었습니다.
언론에 대한 성명에서 Khuzestan Steel의 CEO는 어떠한 피해도 입었다고 부인했습니다.
회사는 성명을 통해 "적시 조치와 경계로 공격은 실패했고 생산 라인에는 피해가 없었다"고 밝혔다.
트위터에 사용자 이름 @GonjeshkeDarand로 게시된 비디오는 두 공격 모두에 대한 책임이 있다고 주장했습니다. 해당 영상은 철강 공장 내부를 촬영한 것으로 알려졌다. 공격자의 동기를 설명하는 메시지가 포함되었습니다.
“이러한 회사들은 국제 제재를 받고 있으며 제한에도 불구하고 영업을 계속하고 있습니다. 이러한 사이버 공격은 무고한 개인을 보호하기 위해 신중하게 수행되는 것이며 이슬람 공화국의 공격에 대응하기 위한 것입니다.”
작년 – 9월 XNUMX일 금요일 아침 – 이란의 국영 철도망이 무너졌습니다. 공격. 해커들은 전국 스테이션의 안내 게시판에 실제로 존재하지 않는 지연 및 취소에 대한 메시지를 게시했습니다. (통근자들 사이에 혼란이 휩쓸면서 이러한 메시지 자체가 지연을 야기했습니다.) Check Point는 그 혼란이 인드라, 2019년부터 활동한 그룹.
이번 주를 작년에 연결
철강 및 철도 공격 모두에서 가해자는 피해자와 승객에게 특정 전화번호로 전화를 걸라는 안내문을 게시했습니다. Check Point에 따르면 그 번호는 Ayatollah Khamenei 사무실에 속합니다.
Check Point는 두 캠페인에 사용된 멀웨어 간에 중복이 있다고 주장합니다.
지난주 공격에서 발견된 실행 파일(chaplin.exe)은 지난 해 이란 철도 시스템에 대한 공격에 사용된 것으로 추정되는 와이퍼 변형인 유성으로 식별된 멀웨어의 변종입니다. 연구원에 따르면 "두 변종 모두 코드베이스를 공유한다는 것은 분명합니다." 맬웨어는 채플린으로 별도로 명명되었습니다.
와이퍼가 없어도 악성코드는 강력합니다. 연구원들은 트윗에서 "네트워크 어댑터 연결을 끊고 사용자를 로그오프한 다음 새 스레드에서 다른 바이너리를 실행하여 실행을 시작합니다. 바이너리는 "디스플레이를 강제로 켜고 사용자가 컴퓨터와 상호 작용하는 것을 차단합니다." 피해자가 자신의 컴퓨터 작동을 완전히 차단한 후 Chaplin은 화면에 해커의 메시지를 표시하고 ""Lsa" 레지스트리 키를 삭제하여 시스템이 올바르게 부팅되지 않도록 합니다."
지난 월요일의 공격에 대한 조사는 여전히 진행 중입니다.
11월 XNUMX일 월요일 이 라이브 이벤트에 지금 등록하세요: Threatpost와 Intel Security의 Tom Garrison과 함께 이해 관계자가 역동적인 위협 환경에서 앞서 나갈 수 있도록 하는 혁신과 Intel Security가 Ponemon Institue와 파트너십을 맺은 최신 연구에서 배운 내용에 대한 실시간 대화에 참여하십시오. 이벤트 참석자는 다음을 권장합니다. 보고서 미리보기 라이브 토론 중에 질문하십시오. 자세히 알아보고 여기에 등록하십시오.
