산업시스템을 파괴할 수 있는 파이프드림 멀웨어
Pipedream Malware Can Disrupt or Destroy Industrial Systems
2021년 슈퍼볼을 앞두고 탬파의 레이몬드 제임스 스타디움에서 15마일 떨어진 한 하수 처리장이 사이버 공격의 표적이 되었습니다.
공격자는 수돗물의 수산화 나트륨 수치를 100ppm에서 11,100ppm으로 조작했습니다. 이 조작 결과는 수도 공급을 오염 시켰을 것입니다.
예리한 직원의 신속한 조치 덕분에 피해가 발생하기 전에 공격을 막을 수 있었습니다. 랜섬 웨어와 데이터 유출도 문제지만, 실제 산업 시설에서 사이버 공격이 성공하면 치명적인 결과를 초래할 수 있습니다.
In the lead-up to the 2021 Super Bowl, a water treatment plant 15 miles away from Raymond James Stadium in Tampa was targeted in a cyberattack. The perpetrator manipulated the water’s sodium hydroxide levels from 100 parts per million to 11,100 parts per million. This change would have poisoned the water supply. Thanks to the quick action of an observant staff member, the attack was thwarted before any harm could be done. While ransomware and data leaks are concerning, a successful cyberattack on a physical industrial facility could be catastrophic.
최근 산업 보안 업체 드라고스(Dragos)는 산업 시설을 더 큰 위험에 빠뜨릴 수 있는 개발에 대해 보고했습니다. 이 보고서에 따르면 2022년, 셰르노바이트 해킹 조직은 산업 제어 시스템(ICS)을 공격하도록 설계된 새로운 모듈식 멀웨어인 파이프드림(Pipedream)을 개발했습니다. 이 강력한 툴킷은 수만 개의 중요한 산업용 디바이스를 파괴적으로 공격할 수 있는 잠재력을 가졌습니다 이러한 위협은 전력망, 석유 및 가스 파이프라인, 상수도 시스템, 제조 공장 관리를 담당하는 기관에 영향을 미칩니다.
Recently, the industrial cybersecurity firm Dragos reported on a development that puts industrial installations at even higher risk. According to the report, in 2022, the Chernovite threat group created Pipedream, a new modular malware designed to attack industrial control systems (ICS). This powerful toolkit has the potential for disruptive and destructive attacks on tens of thousands of crucial industrial devices. The risk impacts entities that are responsible for managing the electrical grid, oil and gas pipelines, water systems and manufacturing plants.
날로 커지는 산업 제어 시스템 위협
Growing Industrial Control System Threat
드라고스 보고서에 따르면 셰르노바이트 개발자들은 모듈식 ICS 공격 프레임워크인 파이프드림(Pipedream)을 만들었고, 이 프레임워크는 현재 세상에 알려진 7번째 ICS전용 멀웨어입니다. 파이프드림은 최초의 산업 전반을 파괴하는 ICS/OT 멀웨어로, 이러한 멀웨어 공격이 존재한다는 것은 산업계의 공격 역량이 상당히 높아졌음을 의미합니다.
드라고스는 셰르노바이트 조직이 다른 위협 공격자들에게서 볼 수 없는 폭넓은 ICS 관련 지식을 보유하고 있다고 말합니다. 파이프드림에서 입증된 ICS 전문성에서는 산업 환경 물리적 프로세스 중단, 성능 저하 및 잠재적으로 파괴할 수 있는 기술이 포함됩니다.
Chernovite developers created Pipedream, a modular ICS attack framework that is now the seventh known ICS-specific malware, according to the Dragos report. Pipedream is the first ever cross-industry disruptive and destructive ICS / operational technology (OT) malware. Its existence proves that industrial adversarial capabilities have ramped up considerably.
Dragos states that the Chernovite group possesses a breadth of ICS-specific knowledge beyond what’s observed in other threat actors. The ICS expertise demonstrated in Pipedream includes capabilities to disrupt, degrade and potentially destroy physical processes in industrial environments.
파이프드림 자체는 새로운 ICS 기능이지만, 파이프드림의 출현은 ICS/OT를 노리는 공격자들이 기술력과 적응력이 높아지고 있음을 보여줍니다. 일반적인 ICS/OT 관련 프로토콜을 구현하는 것 외에도, 파이프드림은 이전 ICS 멀웨어의 기술을 개선합니다. 크래시오버라이드(Crashoverride)와 일렉트럼(Electrum)과 같은 공격 조직은 차단기와 전기 개폐기를 조작하기 위해 OPC 데이터 액세스(OPC DA) 프로토콜을 악용했지만, 셰르노바이트는 비슷하지만 좀 더 발전된 OPC UA 프로토콜을 사용합니다.
While Pipedream itself is a new ICS capability, its appearance reveals a trend toward more technically capable and adaptable adversaries targeting ICS/OT, as per Dragos. In addition to implementing common ICS/OT-specific protocols, Pipedream improves upon techniques from earlier ICS malware. Threat groups such as Crashoverride and Electrum exploited the OPC Data Access (OPC DA) protocol to manipulate breakers and electrical switchgear. Meanwhile, Chernovite uses a newer but comparable OPC UA protocol.
드라고스는 한 국가 세력이 미래의 파괴적 작전에 활용할 의도로 파이프라인을 개발했다고 확신합니다. 파이프라인은 공격자가 표적의 OT 네트워크 아키텍처에 대해 학습하고 자산과 프로세스를 식별할 수 있는 다양한 옵션을 제공합니다. 이러한 정보는 추가적인 파괴적 공격을 위한 토대가 되고, 공격자가 더 많은 기능을 개발해 훨씬 더 광범위한 피해를 줄 수 있도록 공격자의 지식을 증가시킵니다.
Dragos has high confidence that a state actor developed Pipedream intending to leverage it for future disruptive or destructive operations. Pipedream’s capabilities provide an adversary with a range of options for learning about a target’s OT network architecture and identifying its assets and processes. This information lays the groundwork for further disruptive and destructive attacks. It also increases an adversary’s knowledge to develop more capabilities to wreak havoc on a much broader scale.
산업 조직을 향한 랜섬웨어 공격
Ransomware Attacks Against Industrial Organizations
ICS/OT 공격이 걱정되는 것도 사실이지만, 산업 부문은 랜섬웨어 공격에서도 자유롭지 않습니다. 이와 대해 드라고스 보고서에서는 다음과 같은 랜섬웨어에 대한 정보도 포함되어 있습니다.
산업 조직을 향한 랜섬웨어 공격 작년 대비 87% 증가.
2022년 35% 더 많은 랜섬웨어 조직이 ICS/OT에 영향을 미침.
104개의 고유한 제조 하위 부문에 속한 437개의 제조 기업이 랜섬웨어 공격의 표적이 됨.
"랜섬웨어 활동이 증가함에 따라 OT 네트워크, 특히 세분화가 제대로 이루어지지 않은 네트워크에 더 많은 위험 발생.
While ICS/OT attacks are cause for worry, the industrial sector isn’t immune to ransomware attacks either. Along these lines, the Dragos report also included tidbits of information about ransomware, such as:
Ransomware attacks against industrial organizations increased by 87% over last year
35% more ransomware groups impacted ICS/OT in 2022.
Ransomware attacks targeted 437 manufacturing entities in 104 unique manufacturing subsectors.
The Dragos report says, “As ransomware activity increases, it results in more risk for OT networks, particularly networks with poor segmentation.”
강력한 ICS/OT 보안를 위한 5가지 핵심 제어 사항
5 Critical Controls for Strong ICS/OT Cyber Defense
드라고스는 ICS/OT보안 전략의 가이드로 SANS의 5대 ICS 보안 핵심 제어 사항을 따를 것을 권장합니다.
보고서에 따르면 이 핵심 제어 사항을 검토한 결과 다음과 같은 발견 및 개선 방법에 대한 권고 사항에 대해 알 수 있습니다.
Dragos recommends following the SANS Five ICS Cybersecurity Critical Controls as a guide for ICS/OT cybersecurity strategy. According to the Dragos report, a review of these controls revealed the following findings along with recommendations on how to improve:
ICS별 사고 대응: 이 핵심 제어에 대해선 엇갈린 평가 결과가 나타났습니다.
탐지, 고도 및 계획 활성화는 모두 개선되었지만 커뮤니케이션, 문서화 및 복구 능력에서는 점수가 하락했습니다. 전기 유틸리티가 가장 잘 준비된 것으로 나타났으며, 석유 및 가스가 그 뒤를 이었고, 제조업이 가장 저조한 것으로 나타났습니다. 사고의 잠재적 영향을 줄이는 방법은 파이프라인, 전력망, 제조 공장에 따라 다릅니다. ICS별 사고 대응 계획에는 올바른 접점이 포함되어야 합니다. 즉, 공장 내에서 적합한 기술을 보유한 직원을 식별하고 특정 위치의 특정 시나리오에 대한 잘 짜여진 행동 계획을 수립해야 합니다.
ICS-Specific Incident Response: The evaluation of this critical control showed mixed results. Detection, elevation and plan activation all improved. But scores declined in the ability to communicate, document and recover. Electric utilities showed the best preparedness, followed by oil and gas, while manufacturing performed the worst. Mitigating the potential impact of an incident is different for pipelines, electrical grids and manufacturing plants. A dedicated ICS-specific plan must include the right contact points. This means identifying which employees have the right skills within the plant, plus a well-developed plan of action for specific scenarios at specific locations.
방어 가능한 구조(아키텍처): 두 번째 핵심 제어에는 세분화, 최소 권한, 가시성, 레질리언스 및 자동화와 같은 요소가 포함됩니다. 드라고스는 네트워크 세분화가 현저히 개선되었지만 50%의 환경은 여전히 개선이 필요한 것으로 나타났습니다. 2022년 드라고스 조사에서 53%의 제어되지 않은 외부 연결이 OT로 유입되는 것으로 나타났습니다. OT 보안 전략은 환경을 강화하는 것에서 시작됩니다. 여기에는 불필요한 OT 네트워크 액세스 포인트 제거, IT/OT 인터페이스 지점에서 강력한 정책 제어 유지, 고위험 취약성 완화가 포함됩니다.
Defensible Architecture: This second critical control includes elements such as segmentation, least privilege, visibility, resilience and automation. Dragos found marked improvements in network segmentation, but 50% of environments still have room to improve. Uncontrolled external connections into OT were found in 53% of Dragos engagements in 2022. OT security strategies start with hardening the environment. This includes removing extraneous OT network access points, maintaining strong policy control at IT/OT interface points and mitigating high-risk vulnerabilities.
ICS 네트워크 가시성: 세 번째 핵심 제어 평가에서는 80%의 환경에서 ICS/OT 환경의 트래픽 및 디바이스에 대한 가시성이 거의 또는 전혀 없는 것으로 나타났습니다. 너무 많은 환경으로 인해 중요한 문제를 감지하고 조사하기 어렵고, 정확한 자산 목록을 유지하는 것은 더 어려운 것으로 나타났습니다. 효과적인 OT 보안을 위해 자산 목록를 유지하고, 해당 자산에 대한 취약성(및 완화 계획)을 매핑하며, 잠재적 위협에 대한 트래픽을 적극적으로 모니터링합니다.
ICS Network Visibility: The third critical control evaluation revealed 80% of environments had little or no visibility into traffic and devices in ICS/OT environments. Far too many environments find it difficult to detect and investigate important issues. Maintaining accurate asset inventory is even more challenging. An effective OT security posture maintains an inventory of assets, maps vulnerabilities against those assets (and mitigation plans) and actively monitors traffic for potential threats.
안전한 원격 접속: 네 번째 핵심 제어를 평가한 결과, 54%의 환경에서 사용자가 IT 시스템과 OT 시스템에 동일한 자격 증명을 사용하는 것으로 나타났습니다. 원격 접속은 위협 그룹이 OT 시스템에 침투하는 가장 일반적인 방법입니다. 자격 증명 공유를 사용하면 위협이 IT에서 OT로 훨씬 쉽게 이동할 수 있습니다. OT에 멀티팩터 인증(MFA)이 적용되어야 합니다. 시스템 전체에 MFA를 구현하면 비교적 적은 투자로 보안 계층을 추가할 수 있습니다.
Secure Remote Access: Evaluation of the fourth critical control showed users in 54% of environments using the same credentials for IT systems and OT systems. Remote access is the most common way for threat groups to penetrate OT systems. Credential sharing makes it much easier for threats to cross from IT to OT. Multi-factor authentication (MFA) can and should be applied to OT. Implementing MFA across systems adds an extra layer of security for a relatively small investment.
위험 기반 취약점 관리: 마지막 핵심 제어 평가 결과, 2022년에는 CVE의 15%의 오류를 포함했고, 이는 2021년 보다 4% 감소한 것으로 나타났습니다. 하지만 취약점의 77%는 여전히 완화 조치가 부족했습니다. 이는 익스플로잇 위험을 완화하고 패치로 인한 생산 중단 시간을 줄일 수 있는 위험 관리 접근 방식을 채택하는 것이 얼마나 어려운지를 보여줍니다. 성공적인 OT 취약성 관리 프로그램을 위해서는 올바른 정보와 위험 등급으로 주요 취약성을 적시에 인식해야 합니다. 또한, 운영을 계속하면서 노출을 최소화할 수 있는 대안적인 완화 전략이 필요합니다.
Risk-Based Vulnerability Management: The final critical control showed that only 15% of CVEs included errors in 2022, down 4% from 2021. But 77% of vulnerabilities still lack mitigation steps. This demonstrates the challenge of employing a risk management approach that can both mitigate the risk of exploitation and reduce production downtime from patches. A successful OT vulnerability management program requires timely awareness of key vulnerabilities with the right information and risk ratings. Also, alternative mitigation strategies will minimize exposure while continuing to operate.
산업 프로세스 보안
Securing Industrial Processes
파이프드림 멀웨어의 등장은 경각심을 갖는 계기가 되어야 합니다. 산업 공격 기술이 및 사고가 증가하고 있고 이는 막대한 피해의 결과를 초래할 수 있기 때문에 보안에선 즉각적인 대응이 필요합니다
The emergence of the Pipedream malware should serve as a wake-up call. Industrial cyberattack capabilities and incidents are increasing, and the results could be disastrous. Meanwhile, the security response contains gaps that require immediate attention.
https://securityintelligence.com/news/pipedream-malware-can-disrupt-or-destroy-industrial-systems/