이란 사이버 공격에 노출된 거의 4,000대 미국 산업용 장치

Source: Bleeping Computer

개요

이란과 연계된 해커들이 미국 핵심 인프라 네트워크에 대한 사이버 공격에서 노린 공격 표면은 Rockwell Automation이 제조한 수천 대의 인터넷에 노출된 프로그래머블 로직 컨트롤러(PLC)입니다.

여러 미국 연방 기관이 화요일에 발표한 공동 권고사항에 따르면, 이란 국가 지원 해킹 그룹은 2026년 3월부터 Rockwell Automation/Allen‑Bradley PLC 장치를 표적 삼아 운영 중단 및 재정 손실을 초래하고 있습니다.

“이란과 연계된 APT가 미국 조직을 대상으로 하는 캠페인이 최근 급격히 확대되고 있으며, 이는 이란, 미국 및 이스라엘 간 적대 행위에 대한 반응으로 보입니다,” 라고 해당 기관들은 경고했습니다.
“FBI는 이 활동이 장치의 프로젝트 파일을 추출하고 HMI 및 SCADA 디스플레이에서 데이터 조작을 일으켰다고 확인했습니다.”

노출 범위

사이버 보안 업체 Censys가 하루 뒤 보고한 바에 따르면, 전 세계적으로 온라인에 노출된 5,200여 개 산업 제어 시스템 중 4분의 3이 미국에 속해 있습니다.

“Censys 데이터에 따르면 전 세계적으로 EtherNet/IP (EIP)에 응답하고 Rockwell Automation/Allen‑Bradley 장치로 자체 식별되는 5,219개의 인터넷 노출 호스트가 확인되었습니다,” Censys가 말했습니다.

• 미국: 전 세계 노출의 74.6 % (3,891 호스트)
• 불균형적인 비중이 셀룰러 캐리어 ASN에 존재하는데, 이는 현장에 배치된 셀룰러 모뎀 장치를 의미합니다.

인터넷에 노출된 Rockwell/Allen‑Bradley PLC (Censys)

방어자를 위한 권고 사항

이러한 지속적인 공격을 완화하기 위해 네트워크 방어자는 다음을 수행해야 합니다:

• 네트워크 분할: PLC를 방화벽 뒤에 두거나 인터넷 연결을 차단합니다.
• 로그 모니터링: 악성 활동 징후를 로그에서 스캔하고, 특히 해외 호스팅 제공업체에서 발생하는 OT 포트 트래픽을 주시합니다.
• 접근 제어: OT 네트워크 접근에 다중 인증(MFA)을 적용하고, PLC 펌웨어를 최신 상태로 유지하며, 사용되지 않는 서비스와 인증 방식을 비활성화합니다.

역사적 배경

이 캠페인은 거의 3년 전 유사한 공격 이후 이어진 것으로, 이란 정부의 이슬람 혁명수비대(IRGC)와 연계된 위협 그룹 CyberAv3ngers가 미국 기반 Unitronics OT 시스템의 취약점을 노렸습니다.

• CyberAv3ngers는 2023년 11월부터 2024년 1월 사이에 여러 차례에 걸쳐 최소 75대의 Unitronics PLC 장치를 침해했으며, 그 중 절반은 미국 전역의 급수 및 폐수 처리 시스템에 있었던 것으로 파악되었습니다.

최근에는 이란 정보보안부와 연결된 Handala 해커티스트 그룹이 미국 의료 대기업 Stryker의 네트워크에서 약 80,000대의 장치를 삭제했습니다. 여기에는 직원들의 모바일 기기와 회사에서 관리하는 PC도 포함되었습니다.