• >
  • Partner & Business
  • >
  • Community
  • Partner & Business

최근 소식

동훈아이텍은 가치창출을 통한 고객만족과 지속적인 성장을 추구하고 있습니다.

전체소식게시판
러시아 정부 연구소, 산업제어시스템 악성코드 ‘트리톤’ 공격 관련

러시아 정부 연구소, 산업제어시스템 악성코드 ‘트리톤’ 공격 관련

 

파이어아이(FireEye)는 중요 기반 시설의 산업 제어 시스템(ICS)에 영향을 미친 악성코드 트리톤 침입(TRITON intrusion)이 사이버 첩보조직인 템프벨레스(TEMP.Veles)의 활동과 연관이 있다고 밝혔다. 또한, 트리톤 침입 건과 관련해 템프벨레스와 러시아 정부가 소유한 연구 기관과의 연관성도 함께 공개했다.

파이어아이는 트리톤 설치를 위한 침입활동을 이끈 곳이 모스크바에 위치한 러시아 정부 소유의 중앙화학역학과학연구소(Central Scientific Research Institute of Chemistry and Mechanics, 이하 CNIIHM)일 가능성이 매우 높다고 판단했다.

파이어아이는 템프벨레스의 활동을 지원하는 가능성이 높은 악성코드 개발 활동을 발견. 이러한 활동에는 템프벨레스의 트리톤 침입 시 사용된 일부 악성 소프트웨어 버전들의 테스트도 포함되었음을 발견했다.

테스트 활동을 조사한 결과, 다수의 독립적인 활동들이 러시아, CNIIHM, 러시아에 있는 특정 개인으로 이어졌다. 해당 인물의 온라인 활동에서 CNIIHM과의 밀접한 연관성이 발견됐다.

CNIIHM에 등록된 IP주소가 트리톤의 오픈 소스 탐지, 네트워크 정찰, 트리톤 침입을 위한 악성 활동 등 템프벨레스의 다양한 목적 달성을 위해 사용됐다. 템프벨레스의 활동에서 관찰된 행동 패턴은 CNIIHM이 위치한 모스크바의 시간대와 일치했다.

CNIIHM이 트리톤의 오케스트레이션과 개발, 그리고 템프벨레스의 운영을 지원하기 위한 기관급 지식과 인력을 보유하고 있을 것으로 추정된다.

파이어아이는 템프벨레스의 활동을 조사하는 동안 이들이 공격대상의 환경에 설치한 다수의 고유한 툴을 발견했다. 해시(hash)로 일부 동일한 툴을 확인하였으며 이들은 한 유저가 악성코드 테스트 환경에서 시험한 바 있다.

 

 

기사원문 : http://www.nextdaily.co.kr/news/article.html?id=20181031800005