러시아와 연결된 Sandworm APT, 우크라이나 에너지 시설 공격해

Russia-linked Sandworm APT targets energy facilities in Ukraine with wipers

 

러시아와 연결된 Sandworm 공격자들이 Industroyer ICS 악성코드(INDUSTROYER2)의 새로운 변종 및 CaddyWiper 와이퍼의 새로운 버전을 통해 우크라이나의 에너지 시설을 노리는 것으로 나타났습니다.

 

CERT-UA에 따르면, 공격자들은 INDUSTROYER2를 통해 고전압 변전소를 노렸습니다. 연구원들이 분석한 변종은 각 변전소를 공격하도록 커스텀되어 있었습니다.

 

또한 공격자는 윈도우 기반 시스템을 공격하기 위해 CADDYWIPER 와이퍼를 사용했으며 ORCSHRED, SOLOSHRED, AWFULSHRED 파괴 스크립트를 통해 리눅스 운영 체제를 실행하는 서버 장비를 공격했습니다.

 

우크라이나 CERT는 권고를 발행해 아래와 같이 밝혔습니다.

 

“CADDYWIPER의 중앙 집중식 배포 및 실행은 그룹 정책 메커니즘을 통해 구현됩니다. POWERGAP PowerShell 스크립트는 도메인 컨트롤러에서 파일을 파괴하는 컴포넌트를 다운로드하고, 컴퓨터에 예약된 작업을 생성하는 그룹 정책을 추가하는 데 사용되었습니다."

 

“LAN의 세그먼트 간에 수평으로 이동할 수 있는 기능은 SSH 터널 체인을 생성하여 제공됩니다. IMPACKET은 원격 명령 실행에 사용됩니다."

 

CERT-UA에 따르면 APT 그룹은 에너지 시설에 최소 2회의 공격을 실행했습니다. 초기 공격은 늦어도 2022년 2월 이전에 이루어졌습니다. 흥미로운 점은 변전소 단절, 회사 인프라의 해체 공격이 2022년 4월 8일 금요일 저녁으로 예정되어 있었다는 것입니다.

 

정부 전문가는 사이버 보안 회사인 ESET과 Microsoft의 도움을 받아 이 공격을 탐지 및 무력화했습니다.

 

CERT-UA는 이러한 공격에 대한 침해 지표를 수집해 Yara 규칙과 함께 국제 파트너 및 우크라이나 에너지 회사에 공유했습니다.

 

 

<이미지 출처: https://www.welivesecurity.com/2022/04/12/industroyer2-industroyer-reloaded/>

 

 

우크라이나 정부를 도운 보안회사인 ESET은 우크라이나 에너지 회사를 노리는 Industroyer2 와이퍼에 대한 자세한 보고서를 발표했습니다.

 

연구원들은 해당 공격이 2022년 4월 8일로 예정되어 있음을 확인했지만, 증거에 따르면 공격은 최소 2주 동안 계획된 것으로 나타났습니다.

 

ESET은 보고서를 통해 아래와 같이 밝혔습니다.

 

"우리는 공격자가 2016년 우크라이나 정전 사태에 사용된 Industroyer 악성코드의 새 버전을 사용했다고 확신합니다."

 

"또한 APT 그룹인 Sandworm이 새로운 공격을 실행한 것으로 추측하고 있습니다.”

 

 

 

 

출처:

https://securityaffairs.co/wordpress/130123/apt/russia-sandworm-targets-energy-facilities-ukraine.html

https://cert.gov.ua/article/39518

https://www.welivesecurity.com/2022/04/12/industroyer2-industroyer-reloaded/