우크라이나 전체 주에서 업계를 강타한 ‘화재세일’ 사이버 공격

안녕하세요! 저를 잘 모르실 수도 있지만, 간단히 말하자면 저는 지난 25년 이상 사이버 법의학, 조사 및 보안 인식을 전문으로 하고 있습니다. 몇 주 전, 고객을 위해 법의학 분석을 수행하라는 요청을 받았습니다(그들은 이상한 시스템 동작과 반응과 관련한 미스터리에 대해 이야기했습니다). 양 팀과 추가 분석을 진행한 결과, Active Directory를 사용하여 네트워크로 매우 빠르게 확산되는 감염을 발견했으며, 이를 목표로 한 공격으로 추정했습니다. 우리가 몰랐던 것은 2007년 Die Hard 4.0 영화의 허구나 멋진 스크립트였다고 믿었던 것이 현실로 된 것이라는 점입니다 (이런 이야기는 지어낼 수가 없습니다…). 그들은 이것을 퍼시픽 셀이라고 불렀으며, 이는 전체 국가를 대상으로 하는 사이버 공격(하이브리드 전쟁 및 사이버 전쟁에 안녕하세요)으로, 궁극적으로 모든 컴퓨터 컨트롤의 붕괴를 초래하고 경제 붕괴 및 기타 나쁜 결과(예: 전체 산업을 소멸시키는 것)를 초래했습니다. 그러한 공격을 수행하는 것이 얼마나 현실적일까요? 음, 산업 악성코드 방지 리더 중 하나였던 Eugene Kaspersky는 약 1.5년 전에 미래를 예측했을지도 모릅니다 그러나 잠시 동안 사실로 돌아가봅시다: 이는 평범한 일요일이었고, 미디어 산업 보안 분석가 중 한 명이 내가 이사회에 있는 다른 회사와의 컨퍼런스 콜에 나를 초대했습니다. 그들이 일요일 한가운데에 일하고 있는 것이 놀랍지는 않았습니다(저도 그렇기 때문에 묻지 마세요). 오히려 정말 흥미롭고 무서운 사실이었습니다: 전체 미디어 산업 및 TV 채널이 컴퓨터 작업을 방해하고 매우 예측할 수 없는 방식으로 행동하는 알 수 없는 사이버 공격을 받고 있다고 동시에 보고하고 있었습니다. 공격은 10월 25일 일요일에 시작되었습니다^th, 우크라이나에서 주 전역 선거가 진행 중인 동안 (우연의 일치일까요?). 여러 해커 운동 단체가 공격의 공을 차지하려 했지만, 특정 당에 고정하기에는 충분한 (결정적인) 증거가 없습니다. 이는 ‘특별 서비스’ 및 정치인들에게 맡겨야 할 것입니다.

언급했듯이, 공격은 회사 인프라의 은밀한 다중 단계 감염으로, 하나의 목표를 공격한 후 다른 목표를 공격하여 컴퓨터가 재시작되고 부팅 불가능해지는 상황을 초래했습니다. 이 단계에서 두 가지가 분명했습니다: 우리는 아마도 정치적인 동기로 인해 전체 산업을 방해하고자 하는 목표를 둔 사이버 공격을 다루고 있었으며, 조사는 초기 진술에 도전하는 다양한 세부 사항을 밝혀주었습니다…

공격 증상 및 초기 인상

우리가 협력하고 있는 몇몇 3글자 기관의 공식 결과 검증을 기다리는 동안, 또한 지역 CERT에 의해 전면 공개될 예정인 헌신적인 법의학 및 보안 악성 코드 역공학자와 함께, 전선에서 본 상황을 공유하겠습니다.

대상은 Active Directory 도메인 컨트롤러, 데스크톱, 비디오 편집 워크스테이션, 회계 컴퓨터 등 버전이나 기능 종속성이 없는 여러 Microsoft Windows 플랫폼이었습니다.

감염된 자산의 전형적인 관찰 가능한 행동은 운영 체제가 예기치 않게 종료된 후 시스템이 부팅 불가능해지는 것으로, MBR이 손실되었습니다 (왜 그럴까요…). 두 번째 증상은 시스템 파티션이 100% 채워지는 것으로, 이는 시스템이 비정상적으로 작동하게 만들고 Microsoft의 권장 사항에 따라 ‘시스템 관리자에게 문의하라’고 요청하는 것입니다. 내부 보안 팀의 관점에서 보면, 이는 명백한 이유나 관계가 없는 무작위 Windows 기계가 완전히 충돌한 것으로 보였습니다. 세 번째 및 그에 못지않게 중요한 증상은 같은 업계의 모든 동료가 서로 전화를 걸어 앞서 언급한 처음 두 증상을 보고했다는 것입니다…

이 시점에서 몇 가지가 명확해졌습니다:

• 이는 목표로 한 공격이었으며, 실제로 실행되기 훨씬 이전에 철저히 계획되고 조정된 것입니다.
• 이것은 0-day 취약점 악용이 아닙니다. 공격은 사회 공학 및 내부자를 포함하거나, 무기화, 전달 및 지휘·제어의 다중 계층, 모듈식 및 동기화된 시스템을 포함하는 여러 단계로 이루어져 있으며 Cyber Kill Chain 모델에 인사드립니다 😉
• 공격의 타이밍은 무작위가 아닙니다: 지역 주 선거 당일에 일어난 일이며, 이는 선거 미디어 커버리지를 방해하려는 목적(이는 발생하지 않았습니다)이 있을 수도 있거나 주 공격의 목적에서 주의를 돌리기 위한 미끼로 사용되었을 수도 있습니다. 이것은 또한 국가 차원의 새로운 사이버 무기의 능력을 전시하는 하나의 놀라운 프레젠테이션일 수도 있습니다.

저는 동료들에게 자신을 단단히 준비시키고, 의심을 제쳐두고 두 가지에 집중할 것을 권장했습니다: 부수적 피해의 감소 및 최대한의 증거 수집. 우리는 가능한 모든 것을 얻으려고 노력했습니다: PCAP, 스냅샷, 스크린샷, Windows 로그, SIEM 및 IPS 경고, 메모리 덤프 그리고 물론 악성 코드 샘플. 명백히 전통적인 안티바이러스나 다른 활성 방어 시스템은 조용했습니다. 공격의 첫 24시간 동안 우리는 ‘ololo.exe’라는 바이러스를 발견하고 VirusTotal에 업로드하여 단 한 개의 안티바이러스도 이 악성 코드를 인식하지 못하고 있다는 것을 알게 되었습니다. 악성 코드 역분석 및 초기 조사의 결과로 계속됩니다…

Fire Sale Ukraine의 초기 조사 및 악성 코드 역분석 결과 >>