"산업 시스템 공격하는 '트리톤' 흔적 추가 발견"

보안 업체 파이어아이는 산업용 시스템을 주로 공격하는 악성코드인 '트리톤' 배후의 해커가 주요 기반 시설에 침입한 흔적을 추가 발견하고, 이에 대응하고 있다고 18일 밝혔다.

또 산업 제어 시스템(ICS) 자산 소유 기업들에게 자사의 네트워크 활동과 방어 체계 점검을 권고했다.

지난 2017년 12월 파이어아이는 트리톤 맞춤형 공격 프레임워크를 통해 중요 기반 시설의 산업 안전 시스템을 조작, 가동 중단을 일으켰던 트리톤 공격에 대해 1차 분석 결과를 공개했다.

이어 당시 공격자들이 트리톤 공격 프레임워크를 구축하기 위해 중요 컴포넌트에 접근했던 방법을 조사하기 위해 후속 연구를 수행했다.

최근 분석에 따르면 트리톤 침입 활동은 모스크바에 소재한 러시아 정부 소유 기술 연구 기관과 연계돼 있을 가능성이 높다는 판단을 내렸다. 트리톤 프레임워크는 침입 작업을 수행하는 맞춤 툴을 직접 구축해 배치한 것으로 파악된다.

파이어아이는 여러 방법론을 적용, 기타 주요 기반 시설에서 새로운 맞춤형 툴 세트를 포함한 해커의 추가 침입 활동을 적발했다.

공격자는 공격 주기 내내 수십 개의 맞춤형·일반 공격 툴을 활용해 타깃 목표로 삼은 IT·OT 네트워크에 대한 접근을 확보, 유지했다.

트리톤 공격자는 우선 기업 전산망에 발판을 마련하고 난 후 OT 네트워크에 대한 접근 확보에 집중했다. 키 로거와 스크린샷 그래버, 파일 브라우징, 대량 데이터 유출 등 산업 스파이 행위와 흔히 연관되는 활동은 보이지 않았다. 사용된 공격 툴 중 대부분은 목표 환경에서 네트워크 정찰, 내부망 이동, 접근 유지 등에 쓰였다.

공격자들은 침입 활동을 숨기고 종적을 감추며, 사용된 툴과 활동에 대한 포렌식 조사를 저지하기 위해 여러 기법을 사용했다. 내부망 이동과 침입 실행 과정에 손상된 정상 사용자 계정을 이용하고, 정상 파일로 보이도록 마이크로소프트 업데이트 파일명을 따서 KB77846376.exe로 바꾸는 등 파일명을 변경했다.

또 정상적인 관리자 활동을 모방하기 위해 표준 툴을 일상적으로 사용했으며, 이는 RDP와 Psexec/WinRM에서 사용 빈도가 높았다.

아웃룩 익스체인지 서버에서는 공격자가 파일 첨부 기능이 있는 게시판 등에 악성파일을 업로드한 뒤 관리자가 이를 실행하면 악성코드에 감염되는 웹쉘을 이식하면서 기존의 정상 flogon.js 파일과 logoff.aspx 파일을 변경했다

이와 함께 암호화된 시큐어셸(SSH) 기반 터널을 이용해 공격 툴을 전달하고 명령·프로그램을 원격 실행했다. 다수의 스테이징 폴더를 사용하고, 정상 사용자나 프로세스에서 사용 빈도가 낮은 디렉토리를 이용했다.설치된 공격 툴, 실행 로그, 데이터 유출 과정에서 사용된 파일과 기타 파일은 정기적으로 삭제했다.멀웨어가 디스크에서 삭제된 후에도 ShimCache, WMI 최근 사용한 앱 등 잔존하는 아티팩트를 통해 흔적을 확인할 가능성을 염두해 스테이징 폴더에 있는 툴의 파일명을 변경했다. 또 타임스톰핑으로 공격 툴의 $STANDARD_INFORMATION 속성을 변경했다.

표적이 된 안전계측시스템(SIS) 컨트롤러에 대한 접근이 확보되자 공격자들은 성공적 침입을 위해 트리톤을 배치했다. 파이어아이는 공격자가 트리톤 배치를 시도하는 동안에는 접근 상태를 유지하는 데 집중한 것으로 판단했다.

공격자들은 분산제어시스템(DCS)에 침투해 공격 토대를 마련했으나 그 접근 경로를 이용한 플랜트 작업 파악, 민감 정보 유출, DCS 컨트롤러 변경, 프로세스 조작 등은 시도하지 았았다. SIS 엔지니어링 워크스테이션에 대한 접근을 확보한 시점부터 트리톤의 공격 프레임워크를 통해 백도어 페이로드 전달과 개선에 집중했다.

상대적으로 위험도가 높은 활동을 수행하는 동안 발각될 가능성을 줄이기 위해 목표 컨트롤러와의 상호 작용을 근무 외 시간에 시행했다. 이 경우 컨트롤러 조작으로 인해 경보가 발생해도 이에 대응할 수 있는 현장 근무 인력이 전무하기 때문이다.

그 외 슈나이더 일렉트릭 애플리케이션의 이름을 따서 trilog.exe로 변경하는 등 파일명을 변경해 일반 파일로 둔갑하기도 했다.