러시아 APT 해킹 조직 샌드웜(Sandworm)이 악성코드를 통해 우크라이나의 에너지 시설을 공격하고 있다.
샘드웜은 INDUSTROYER2와 CADDYWIPER라는 이름의 악성코드를 통해 우크라이나 에너지 시설의 시스템의 작동을 방해하고, 동시에 데이터를 파괴하고 복구할 수 없게 만드는 것으로 알려졌다.
CERT-UA(우크라이나 컴퓨터 비상 대응팀)에 따르면, 샌드웜은 INDUSTROYER2를 통해 고전압 변전소를, CADDYWIPER를 통해 윈도우 기반 시스템을 무력화시키고 있다. 또한 ORCSHRED, SOLOSHRED, AWFULSHRED 등 파괴 스크립트를 사용해 리눅스 운영 체제를 실행하는 서버 장비를 공격했다.
우크라이나의 에너지 시설에는 최소 2회 이상의 사이버 공격이 있었던 것으로 파악됐다. 원래는 4월 8일이 첫 공격 예정이었지만 최초 공격은 지난 2월에 시작됐고, 공격 준비 또한 최소 2주전에 이뤄진 것으로 알려졌다.
CERT-UA는 이번 공격에 대한 침해 지표를 수집하고 이를 Yara(멀웨어 탐지에 사용되는 도구) 규칙과 함께 제한된 수의 국제 파트너 및 우크라이나 에너지 기업과 공유했다.
한편, ESET와 마이크로소프트는 우크라이나 에너지 시설에 대한 공격을 탐지하기 위해 우크라이나 정부와 협력하고 있는 상황이다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.