사이버보안 연구원들은 올해 1월 초 우크라이나 리비우의 에너지 회사를 표적으로 삼아 파괴적인 사이버 공격에 사용된 9번째 산업 제어 시스템(ICS) 중심 맬웨어를 발견했다고 밝혔습니다.
산업 사이버 보안 회사 Dragos는 이 맬웨어를 프로스티구프이를 Modbus TCP 통신을 직접 사용하여 운영 기술(OT) 네트워크를 방해하는 최초의 맬웨어 변종으로 설명합니다. 이 회사는 2024년 4월에 이를 발견했습니다.
“FrostyGoop은 Golang으로 작성된 ICS 전용 맬웨어로, 포트 502를 통한 Modbus TCP를 사용하여 산업 제어 시스템(ICS)과 직접 상호 작용할 수 있습니다.” 연구원 Kyle O’Meara, Magpie (Mark) Graham, Carolyn Ahlers가 The Hacker News와 공유한 기술 보고서에서 밝혔습니다.
주로 Windows 시스템을 타겟으로 설계된 이 맬웨어는 인터넷에 노출된 TCP 포트 502를 가진 ENCO 컨트롤러를 타겟으로 삼는 데 사용된 것으로 생각됩니다. 이전에 식별된 위협 행위자나 활동 클러스터와 관련이 없습니다.
FrostyGoop은 입력, 출력 및 구성 데이터를 포함하는 레지스터를 보유한 ICS 장치를 읽고 쓸 수 있는 기능을 제공합니다. 또한 선택적 명령줄 실행 인수를 허용하고 JSON 형식의 구성 파일을 사용하여 대상 IP 주소와 Modbus 명령을 지정하고 콘솔 및/또는 JSON 파일에 출력을 기록합니다.
지방 지역 에너지 회사를 표적으로 삼은 이 사건으로 인해 600개가 넘는 아파트 건물에 약 48시간 동안 난방 서비스가 중단된 것으로 알려졌습니다.
연구원들은 컨퍼런스 콜에서 “적대 세력이 ENCO 컨트롤러에 Modbus 명령을 보내 부정확한 측정과 시스템 오작동을 일으켰다”며, 초기 접근은 2023년 4월 Mikrotik 라우터의 취약점을 악용하여 이루어졌을 가능성이 높다고 언급했습니다.
“적대자들은 ENCO 컨트롤러에 Modbus 명령을 보내 부정확한 측정과 시스템 오작동을 일으켰습니다. 복구에는 거의 이틀이 걸렸습니다.”
FrostyGoop은 클라이언트/서버 통신에 Modbus 프로토콜을 광범위하게 사용하지만, 유일한 것은 아닙니다. 2022년에 Dragos와 Mandiant는 OPC UA, Modbus, CODESYS와 같은 다양한 산업용 네트워크 프로토콜을 상호 작용에 활용한 PIPEDREAM(일명 INCONTROLLER)이라는 또 다른 ICS 맬웨어를 자세히 설명했습니다.
이는 Stuxnet, Havex, Industroyer(일명 CrashOverride), Triton(일명 Trisis), BlackEnergy2, Industroyer2, COSMICENERGY에 이어 9번째 ICS 중심 맬웨어입니다.
드라고스는 맬웨어가 Modbus를 사용하여 ICS 장치의 데이터를 읽거나 수정할 수 있는 능력이 있기 때문에 산업 운영과 대중의 안전에 심각한 결과를 초래할 수 있으며, 인터넷에 노출된 ICS 기기 46,000대 이상이 널리 사용되는 이 프로토콜을 통해 통신하고 있다고 덧붙였습니다.
연구원들은 “포트 502를 통한 Modbus TCP를 사용하여 ICS를 구체적으로 타겟팅하고 다양한 ICS 장치와 직접 상호 작용할 수 있는 잠재력은 여러 부문에 걸쳐 중요한 인프라에 심각한 위협을 가한다”고 밝혔습니다.
“조직은 미래에 유사한 위협으로부터 중요한 인프라를 보호하기 위해 포괄적인 사이버 보안 프레임워크 구현을 우선시해야 합니다.”
