Industroyer2 멀웨어

우크라이나의 중요 기반 시설 서비스는 러시아의 국가 침공 전후에 사이버 공격의 표적이 되었습니다. 사이버 범죄자들은 우크라이나 에너지 공급업체를 가장 최근에 목표로 삼은 공격 활동을 계속해서 시작하고 있는 것으로 보입니다.

위협적인 캠페인은 피해자의 ICS(산업 제어 시스템)를 손상시키거나 방해할 수 있는 Industroyer2라는 새로운 악성 코드를 배포하려고 시도했습니다. 이 작전은 고압 변전소를 목표로 했으며 사악한 목표를 달성하지 못한 것으로 알려졌다. 우크라이나 CERT-UA(Computer Emergency Response Team), 마이크로소프트, 사이버보안업체 ESET이 공격을 분석하고 있다. 지금까지 유력한 범인은 러시아 GRU 정보국의 명령에 따라 운영되는 것으로 알려진 샌드웜 위협 그룹입니다.

위협적인 특성

Industroyer2 위협은 Industroyer( CRASHOVERRIDE )로 알려진 맬웨어의 새롭고 개선된 버전으로 보입니다. 2016년 12월에 원래 Industroyer가 우크라이나의 변전소에 대한 공격의 일환으로 배치되어 단기간 정전을 일으켰습니다. 이제 Industroyer2 위협이 비슷한 방식으로 사용됩니다. 이는 예정된 작업을 통해 4월 8일에 실행되어야 하는 Windows 실행 파일로 대상 시스템에 배포됩니다.

Industroyer2는 대상의 산업 장비와 통신하기 위해 IEC-104(IEC 60870-5-104) 프로토콜을 사용합니다. 이는 변전소의 보호 계전기에 영향을 줄 수 있음을 의미합니다. 대조적으로, 구형 Industroyer 위협은 완전 모듈식이었고 여러 ICS 프로토콜에 대한 페이로드를 배포할 수 있었습니다. 구성 데이터에서 또 다른 차이점이 발견되었습니다. 원래 위협은 이 정보를 저장하기 위해 별도의 파일을 사용했지만 Industroyer2는 구성 데이터를 본체에 하드코딩했습니다. 결과적으로 위협의 각 샘플은 선택한 피해자의 환경에 맞게 특별히 조정되어야 합니다.