포스팅 내용

국내외 보안동향

ICS 프로세스를 노리는 새로운 Snake 랜섬웨어 발견

A new piece of Snake Ransomware targets ICS processes


SentinelOne의 보안 전문가들이 최근 Snake 랜섬웨어가 산업용 제어 시스템(ICS)와 관련된 프로세스와 파일을 노리고 있다고 밝혔습니다.


Snake 랜섬웨어는 Golang 프로그래밍 언어로 작성되었으며, 전 세계 기업을 노리는 공격에 사용되었습니다.



연구원들에 따르면, Snake가 노리는 ICS 대부분은 GE에서 만든 제품과 관련이 있는 것으로 나타났습니다.


이스라엘의 사이버 보안 회사인 Otorio는 Snake 랜섬웨어를 만든 곳은 이란이며 산업 제어 시스템을 공격할 목적으로 설계되었다고 밝혔습니다.


Otorio는 Snake 랜섬웨어가 Proficy HMI/SCADA, 제조 실행 시스템 (MES), 엔터프라이즈 제조 인텔리전스(EMI) 시스템에 연결하는데 사용되는 GE Digital Proficy 서버의 중요한 프로세스를 종료한다고 밝혔습니다. 연구원들은 이 프로세스가 종료되면 운영 팀에 심각한 영향을 줄 수 있다고 경고했습니다.


Otorio는 보고서를 통해 아래와 같이 밝혔습니다.


“타깃 ICS 프로세스를 제거하거나 잠글 경우 제조 팀이 분석, 구성, 제어를 포함한 중요한 생산 관련 프로세스에 접근하지 못하게 될 수 있습니다.”


“이는 운전자의 눈을 가리고 핸들을 빼는 것과 같은 상황입니다. 게다가 Snake는 GE Digital Proficy 서버의 중요한 네트워킹 프로세스를 중단시킵니다. 이 산업 게이트웨이는 HMI/SCADA, MES, EMI와 Proficy 사이의 연결을 가능하게 합니다. 이로써 운영 팀은 눈을 가리고, 귀를 막고 말 할 수 없는 상태로 운전하는 것과 같은 상황이 됩니다.”


GE의 대변인은 성명서를 통해 아래와 같이 밝혔습니다.


“GE는 산업 제어 시스템의 특정 기능을 노리는 랜섬웨어 패밀리에 대해 인지하고 있습니다. 우리가 이해한 바로는, 이 랜섬웨어가 GE의 ICS 제품만을 노리는 것은 아닙니다. GE의 ICS 제품 내 특정 취약점을 노리지 않고 있습니다.”


전문가들은 공격자가 피해자에게 bapcocrypt@ctemplar.com 이메일 주소로 연락할 것을 요청한다는 점을 지적했습니다. “Bapcocrypt”는 바레인의 석유 회사인 Bapco를 나타내는 것으로 추정되며, 이 회사는 최근 Dustman이라는 악성코드의 공격을 받은 적이 있습니다. 사우디 아라비아의 사이버보안국은 Dustman이 중동의 에너지 및 산업 조직을 노리는 타깃 공격에 사용된 ZeroCleare 와이퍼와 관련이 있다고 밝혔습니다.


Otorio는 “이미 입증된 악성코드(예: MegaCortex)를 사용하고 ICS를 공격하기 위해 이를 연마하는 것은 이란 해커들이 사용하는 운영 방식의 특징 중 하나입니다. 따라서 이란이 이번 공격의 강력한 용의자라 생각됩니다.”라 밝혔습니다.


현재 알약에서는 해당 악성코드에 대하여 Trojan.Agent.Jooblash로 탐지중에 있습니다. 




출처 : 

https://www.bloomberg.com/news/articles/2020-01-28/-snake-ransomware-linked-to-iran-targets-industrial-controls

https://securityaffairs.co/wordpress/96939/malware/snake-ransomware-ics.html



티스토리 방명록 작성
name password homepage