에너지 위협 인텔리전스

에너지 산업을 표적으로 하는 사이버 위협​

에너지 산업에 속한 조직들은 다음과 같은 위협 범죄자들이 유발하는 사이버 위협에 직면하고 있습니다.
  • 지능형 지속적 위협(APT)1 그룹들은 후원 국가의 정부를 지원하기 위해 국가 및 경제 보안을 확립할 수 있는 정보를 유출하려고 시도합니다. 데이터 유출 활동은 천연자원 탐사 및 에너지 거래와 관련된 정보에 집중될 가능성이 있습니다. 또한 APT 그룹은 충돌이 발생하는 경우, 적대국의 에너지 산업에 대한 파괴 및 교란 행동을 할 수도 있습니다.
  • 핵티비스트는 알려진 논란에 대응하여 에너지 회사들을 기회주의적으로 표적을 삼을 수도 있습니다. 이러한 범죄자들은 배포된 서비스 거부(DDoS) 공격을 수행하거나, 회사 웹사이트의 외관을 손상하거나, 또는 회사를 당황스럽게 만들고 어떤 주장에 대해 주의를 환기하려는 시도로서 개인 정보를 유출 또는 노출할 수도 있습니다.
에너지 사이버 위협
위협 목표 및 산업 전망

에너지 산업은, 특히 국가 및 경제 보안에 대한 중요성을 고려할 때, 위협 범죄자들에게 계속 우선 순위가 높은 표적이 될 가능성이 있습니다. 저희는 다음과 같은 상황들이 이 산업에 대한 위협 활동에 추가로 기여할 수도 있다고 예상합니다.

  • 석유 가격의 지속적인 가파른 인하는 수익성 관점에서, 절도한 석유 또는 가스 시추 기술에 대한 APT 그룹의 계산법을 변경시킬 수 있습니다.
  • 또한 화석 연료 개발과 대체 에너지 생산에 대한 지속적인 기술 혁신은 APT 그룹이 국유 회사들의 이익을 위해 이와 관련된 지적 재산과 독점 데이터를 입수하려고 시도함에 따라 사이버 스파이 활동의 증가를 유도할 가능성이 있습니다.
  • 에너지에 대한 전세계의 수요 증가 및 천연자원의 감소로 인해 국가가 에너지 보안을 강화하려고 경쟁할 때, 경쟁 우위를 확보할 인텔리전스를 입수하려고 시도함에 따라 이 부문에 대한 사이버 스파이 활동의 증가를 초래할 가능성이 있습니다.
  • 산업 제어 시스템(ICS)과 감독 제어 및 데이터 획득(SCADA)의 정찰을 수행하는 것으로 추정되는 러시아 기반 위협 그룹에 의한 스파이 활동이 관찰되었습니다.
  • 또한 국가가 후원하는 위협 범죄자들이 적대국의 에너지 공급에 대한 교란을 통해서 적대국에 대한 압력을 강화하려고 시도할 수도 있으므로, 관련 국가들 사이의 충돌이 위협 활동의 증가를 초래할 수 있습니다.
  • 그리고 에너지 생산과 관련된 환경 문제와 다른 논란들이 이러한 문제들에 대한 주의를 환기하고 책임이 있다고 생각하는 조직들을 당황스럽게 만들려고 시도하는 핵티비스트들이 유발하는 위협 활동의 증가를 초래할 수도 있습니다.
저희는 최소한 16개의 지능형 위협 그룹이 다음의 소부문에서 회사들을 침해하는 것을 관찰했습니다.
  • 대체 에너지 개발
  • 석탄 채광
  • 핵에너지 개발
  • 천연가스 유통 및 마케팅
  • 석유 및 가스 탐사와 생산
  • 유전 및 가스전 장비 제조
  • 유전 및 가스전 서비스 석유 정제
에너지 회사로부터 유출되는 데이터
  • 에너지 회사로부터 유출되는 데이터
  • 비즈니스 프로세스 정보
  • 계약 협상 정보
  • 실행 통신
  • 시장 분석
  • 독점 기술

사례연구: APT 그룹은 석유 정제 회사를 표적으로 삼습니다

저희는 이전에 석유 정제 조직에서 네트워크 침해로 의심되는 사고에 대응했습니다. 저희는 조사를 하는 동안 위협 범죄자가 그 조직의 웹사이트에 대해 철저히 취약점 스캔을 실시하고, SQL 주입 공격을 수행한 후에 네트워크에 접근했다는 것을 알아냈습니다. 위협 범죄자는 네트워크 내부에 도달한 후에 최소한 50개의 시스템을 침해했고, 화석 연료를 탐사하고 차후에 생산할 책임이 있는 사업 단위로부터 4기가바이트가 넘는 데이터를 유출했습니다.


에너지 부문을 표적으로 하는 사이버 위협

상위 악성코드 탐지

FireEye는 위협 범죄자들이 다음과 같은 표적 악성코드군을 사용하여 에너지 부문의 조직들을 침해하는 것을 가장 자주 탐지했습니다.

SOGU(별칭 Kaba, PlugX)는 파일 업로드 및 다운로드, 임의 프로세스 실행, 파일 시스템과 레지스트리 접근, 서비스 설정 접근, 원격 셸 접근을 수행할 능력이 있고, 맞춤형 VNC/RDP 같은 프로토콜을 구현하여 명령 및 제어(C2) 서버에 데스크탑에 대한 그래픽 접근을 제공하는 백도어입니다.
ADDTEMP(별칭 Desert Falcon 및 Arid Viper)는 스피어 피싱을 통해 전달될 수 있습니다. 스크린샷을 캡처하고 키스트로크를 기록하고 파일을 업로드 및 다운로드하고 시스템 레지스트리에 저장된 암호를 유출하고 피해 하드 디스크 또는 연결된 USB 장치의 모든 .doc 및 .xls 파일에 대한 정보를 쿼리할 수 있습니다.
위치코븐은 사이트 방문자의 운영 체제, 브라우저 및 애플리케이션에 대한 정보를 얻기 위한 프로파일링 스크립트 설계입니다. APT 범죄자는 이러한 스크립트를 이용하여 컴퓨터 시스템 및 이 시스템이 속한 조직을 프로파일링하기 위해 사용되는 기술 정보를 수집하는 풋프린팅을 시행하는 것으로 의심됩니다.
GH0STRAT는 공개적으로 사용 가능한 소스 코드로부터 추출되는 원격 접속 툴(RAT)입니다. 화면과 오디오 캡처를 수행하고, 웹캠을 활성화하고, 프로세스를 열거 및 차단하고, 명령 셸을 열고, 이벤트 로그를 지우고, 파일을 작성, 조작, 삭제, 시작, 전송할 수 있습니다.
SpyNet는 공격자가 원격 셸을 통해서 침해된 시스템과 대화하고, 파일을 업로드 및 다운로드하고, 레지스트리와 대화하고, 프로세스 및 서비스를 시작 및 중지하는 것을 허용하는 공개적으로 사용 가능한 RAT입니다. 데스크탑의 이미지를 캡처하고, 웹캠 및 오디오 입력을 녹화 또는 녹음하고, 저장된 패스워드를 추출하고, 침해된 시스템을 프록시 서버로 전환할 수 있습니다. 또한 키로깅 기능과 안티디버깅/안티 가상 머신 방어 메커니즘이 있습니다.

상위 크라임웨어 탐지

FireEye의 싱크홀과 동적으로 공유하는 위협 데이터는 다음과 같은 크라임웨어 변종들이 에너지 산업 부문에서 가장 흔히 탐지되었다는 것을 보여줍니다.

Jenxcus(별칭 njw0rm, njworm)는 유명한 툴 njRAT(별칭 Backdoor.LV)의 진화한 버전으로 이동식 드라이브 및 인증 유출을 통해 전파될 수 있습니다. 종종 이메일에 포함된 악성 링크 및 침해된 사이트의 드라이브바이 다운로드를 통해 전달됩니다.
HOUDINI(별칭 H-Worm)는 HTTP를 사용하여 운영체제와 호스트 및 사용자 이름 같은 침해된 시스템에 대한 정보를 통신하는 VBS 기반의 원격 접속 툴(RAT)입니다. 경우에 따라, VBS 파일은 맞춤형 Base64 인코딩을 포함하여 다층의 난독화로 패킹됩니다. 이 툴은 명령줄 실행, 프로그램의 다운로드 및 실행, 데이터 유출 같은 몇 가지 명령을 지원합니다.
JpiProx는 브라우저 추가로 자체 설치되며 방문한 웹사이트에 광고를 삽입하고 추가 악성코드를 설치할 수 있는 트로이 목마 바이러스입니다. JpiProx는 감염된 호스트의 사용자가 방문하는 모든 웹페이지에 광고를 삽입하여 범죄자들의 광고 사기 매출을 생성하는 브라우저 플러그인으로 가장합니다. 또한 근원지를 감추기 위해 감염된 호스트를 통해 원치 않는 트래픽을 연결하는 데 사용될 수 있는 웹 프록시 소프트웨어와 같은 기타 악성코드 또는 원치 않는 프로그램을 설치할 수 있습니다. 이 트로이 목마 바이러스는 또한 감염된 시스템에 대한 정보와 방문한 웹사이트 목록 및 추가 정보를 유출할 수 있습니다.
ZeroAccess(별칭 Sirefef)는 고급 루트킷 능력이 있는 트로이 목마 바이러스입니다. 초기에 다른 종류의 악성 소프트웨어에 사용하는 전달 메커니즘으로 개발된 이 바이러스는 클릭 사기를 수행하기 위해 아키텍처를 변경했습니다.
Upatre는 종종 스팸 이메일, 드라이브바이 다운로드 또는 익스플로잇을 통해 침입하는 트로이 목마 바이러스 다운로더이며, Upatre는 감염된 시스템에 하나 이상의 추가 악성코드를 다운로드합니다. Upatre는 Zbot, Dyre, Rovnix, CryptoLocker 및 Necurs를 포함하여 매우 다양한 악성코드를 배포하는 것으로 관찰되었습니다.

1 지능형 지속적 위협(APT) 공격자는 특정한 국가로부터 지시를 받아 정보를 유출하거나 네트워크 공격을 수행하고, 그들의 목표를 집요하게 추진하고, 다양한 툴과 전술을 사용할 능력이 있다고 평가됩니다.