미국, 이란 해커가 핵심 인프라를 노린다고 경고

Source: Bleeping Computer

위협 개요

이란과 연계된 해커들이 미국 핵심 인프라 조직의 네트워크에 노출된 Rockwell/Allen‑Bradley 프로그래머블 로직 컨트롤러(PLC)를 표적으로 삼고 있습니다. 이번 공격은 정부 서비스 및 시설, 물 및 폐수 시스템, 에너지와 같은 분야에 집중되었으며, 2026년 3월 이후 재정 손실 및 운영 중단을 초래했습니다.

공동 advisory

오늘 FBI, CISA, NSA, 환경보호청(EPA), 에너지부(DOE) 및 미국 사이버 사령부 – 사이버 국가 임무 부대(CNMF)가 공동 advisory를 발표했습니다. 주요 내용은 다음과 같습니다:

• 이란과 연계된 APT 행위자들이 인터넷에 노출된 PLC를 표적으로 삼아 프로젝트 파일을 악의적으로 조작하고 HMI 및 SCADA 인터페이스에 표시되는 데이터를 변조함으로써 중단을 일으키려 하고 있습니다.
• 이 활동으로 인해 장치 프로젝트 파일이 추출되고 HMI/SCADA 디스플레이에서 데이터가 변조되었습니다.
• 해당 캠페인은 이란, 미국, 이스라엘 간의 적대 행위에 대응하여 확대된 것으로 보입니다.

전체 advisory는 여기에서 확인할 수 있습니다.

이전 advisory (2023년 11월)

2023년 11월에 발표된 관련 advisory에서는 이란 정부의 이슬람 혁명수비대(IRGC)와 연계된 CyberAv3ngers 위협 그룹이 미국 기반 Unitronics 운영 기술(OT) 시스템의 취약점을 악용하고 있다고 경고했습니다. 2023년 11월부터 2024년 1월 사이에 이 그룹은 여러 차례에 걸쳐 최소 75개의 Unitronics PLC 장치를 침해했으며, 영향을 받은 장치의 약 절반이 물 및 폐수(WWS) 핵심 인프라 네트워크에 위치해 있었습니다. 자세한 내용은 CISA advisory 여기에서 확인할 수 있습니다.

완화 권고 사항

네트워크 방어자는 PLC 및 OT 환경을 보호하기 위해 다음 조치를 고려해야 합니다:

1. 네트워크 분할

   • 가능한 경우 PLC를 인터넷에서 분리합니다.
   • 방화벽을 사용해 인바운드/아웃바운드 트래픽을 신뢰할 수 있는 소스만 허용합니다.

2. 모니터링 및 로깅

   • 공동 advisory에 명시된 침해 지표를 로그에서 스캔합니다.
   • 해외 호스팅 제공업체로부터 오는 의심스러운 트래픽을 특히 OT 포트에서 모니터링합니다.

3. 접근 제어

   • OT 네트워크 접근에 다중 인증(MFA)을 구현합니다.
   • 사용되지 않는 서비스와 기본 인증 키를 비활성화합니다.

4. 패치 관리

   • PLC 펌웨어를 최신 릴리스로 유지합니다.

5. 트래픽 검사

   • OT 프로토콜에 특화된 딥 패킷 인스펙션(DPI) 또는 침입 탐지 시스템(IDS)을 활용합니다.

관련 사건

• Handala 해커티비스트 그룹: 지난 달 이란과 연계된 친팔레스타인 Handala 그룹이 미국 의료 기업 Stryker의 네트워크에서 약 80,000대의 장치를 삭제했으며, 직원 모바일 기기와 개인 컴퓨터에 영향을 미쳤습니다. 자세한 내용은 여기에서 확인할 수 있습니다.
• 텔레그램 기반 악성코드: FBI는 이란 정보보안부(MOIS)와 연계된 해커들이 텔레그램을 악성코드 공격의 매개체로 사용하고 있다고 경고했습니다. 자세한 내용은 여기에서 확인할 수 있습니다.