부분 중국의 볼트 태풍 중요 인프라의 운영 기술(OT) 네트워크에 침투하는 데 초점을 맞춘 지능형 지속 위협(APT)은 이미 미국에 본사를 둔 여러 전기 회사에 대한 정찰 및 열거를 수행하는 동시에 아프리카 국가의 송배전 조직도 표적으로 삼았습니다.

OT 보안 전문가 Dragos에 따르면 "Voltzite"라고 불리는 OT 위협이 전기 부문 목표물에서 물리적 산업 제어 시스템(ICS)을 손상시키는 "문을 두드리고 있다"고 밝혔습니다. 침입은 OT 공간에 연결되는 IT 네트워크로 제한되었습니다.

이번 발견은 국가가 지원하는 위협이 다음과 같다는 미국 정부의 최근 선언을 뒷받침합니다. 혼돈을 심을 수 있도록 자신을 미리 배치하는 것 국내 전력망을 교란시키다 군사적 충돌의 경우.

이번 주 미디어 라운드 테이블에서 Dragos의 창립자이자 CEO인 Robert M. Lee는 "Volt Typhoon을 보면 A급 팀이고 전략적 적이며 자원이 풍부하고 매우 정교합니다"라고 말했습니다. “그리고 우리가 추적하는 Voltzite를 보면 그것이 [해당 그룹의] OT 부분이자 OT 초점입니다. 우리는 Volt Typhoon에 대한 미국 정부의 초점을 검증할 수 있으며 전략적인 전기 현장을 목표로 삼는 것도 검증할 수 있습니다.”

사례 연구: 볼트 태풍이 중견 전력회사 내부에 잠복하다

Dragos가 조사한 한 사례에서 Voltzite는 미국의 중간 규모 전력 회사를 손상시키고 "300일 이상" 동안 숨어 지냈다고 Lee는 말했습니다.

그는 “공격자가 기업 IT 네트워크에 갇혀 있기는 하지만 명시적으로 그곳의 OT 네트워크에 침입하려고 시도하고 있다는 것이 매우 분명했습니다.”라고 설명했습니다. "그들은 문을 두드리고 있었고, 전력 운영 네트워크에 명시적으로 들어갈 것으로 예상되는 모든 작업을 수행하고 있었습니다."

추가 분석에 따르면 APT는 물리적 제어 시스템으로 넘어가려는 노력에 도움이 될 수 있는 데이터를 찾고 있는 것으로 나타났습니다.

“그들이 많은 OT 관련 데이터와 통찰력, SCADA 관련 정보와 GIS 관련 정보, 그리고 향후 파괴적인 공격에 유용할 것들을 훔치고 있다는 것을 확인할 수 있습니다.”라고 Lee는 설명했습니다. "볼차이트는 그들이 훔치고 있는 것을 기반으로 주요 목표와 미래에 권력을 무너뜨릴 방법에 대해 구체적으로 생각하고 있는 것이 분명했습니다."

Lee는 위협을 억제하기 위해 회사가 사고 대응에서 얻은 위협 인텔리전스 결과를 패키지화하여 다른 잠재적인 Voltzite 표적 및 연방 정부와 공유했다고 말했습니다.

볼트 태풍으로 활동 확대

존재 이후 2023년 XNUMX월 공개적으로 아웃됨, Volt Typhoon(일명 Bronze Silhouette, Vanguard Panda 및 UNC3236)은 미국 영토인 괌, 통신 제공업체, 군사 기지 및 미국 비상관리기구, 다른 사람의 사이에서.

Dragos의 자체 조사에서 다음과 같은 증거가 발견되었습니다. 볼트 태풍 확장그리고 Voltzite는 특히 미국 전력 회사와 아프리카의 일부 목표물에 광범위한 그물을 던졌을 뿐만 아니라 Volexity가 추적하는 위협 활동 클러스터인 UTA0178과 겹칩니다. Ivanti VPN 제로데이 취약점 12월에 ICS 목표를 달성했습니다.

또한 지난 달 Dragos는 미국 통신 제공업체의 외부 네트워크 게이트웨이에 대한 광범위한 정찰을 수행하고 Voltzite가 미국 대형 도시의 응급 서비스 지리공간 정보 시스템(GIS) 네트워크를 손상시켰다는 증거를 발견했습니다.

“우리가 걱정하는 것은 그들이 파괴를 일으키기 위해 매우 구체적인 역량을 배치했다는 것뿐만이 아닙니다.”라고 Lee는 말했습니다. 그는 "우려가 되는 것은 위성, 통신, 전력 생산, 송전, 배전 전반에 걸쳐 그들이 선택한 표적"이라며 "이 표적은 오프라인 상태가 될 경우 미국인의 삶에 가장 큰 혼란을 초래할 수 있는 능력으로 선별됐다"고 강조했습니다.

Voltzite의 은밀한 사이버 침입 전술

Dragos 조사에 따르면 Voltzite는 네트워크 내부에서 자격 증명 액세스 및 측면 이동을 위해 다양한 기술을 사용하는 것으로 나타났습니다. 더 광범위한 Volt Typhoon 위협과 마찬가지로 그 특징은 합법적인 도구를 사용하고 땅에서 살아가기 (LotL) 서명 감지를 방지합니다.

한 가지 전략에는 CSV 파일 형식을 사용하여 Active Directory 도메인 서비스에서 데이터를 가져오고 내보내는 데 사용되는 기본 Windows 바이너리인 csvde.exe를 사용하는 것이 있습니다. 다른 경우에는 볼륨 섀도 복사본(즉, 백업으로 사용할 수 있는 Windows 운영 체제의 복제된 이미지)과 도메인 컨트롤러에서 NTDS.dit Active Directory 데이터베이스를 추출하여 사용자 계정, 그룹, 그리고 컴퓨터, 그리고 가장 중요한 것은 사용자 비밀번호의 해시를 포함하고 있다는 것입니다.

다음 주에 발표될 Dragos의 연례 OT 위협 보고서에 따르면 "일반적인 상황에서는 NTDS.dit 파일이 시스템의 Active Directory에서 사용 중이므로 열거나 복사할 수 없습니다."라고 합니다. “이러한 보호를 우회하기 위해 공격자들은 일반적으로 볼륨 섀도 복사본 서비스를 사용하여 운영 체제의 복제된 이미지를 생성하고 이를 디스크에 저장합니다. 그런 다음 해당 파일 버전은 어떤 프로세스에서도 사용되지 않으므로 공격자는 섀도 복사본에 있는 NTDS.dit의 복사본을 문제 없이 추출할 수 있습니다.”

그 후 Voltzite는 해시 크래킹을 수행하거나 "해시 전달" 기술을 사용하여 사용자를 인증할 수 있습니다.

LotL 바이너리 목록이 포함된 Dragos 보고서에 따르면 Voltzite는 최소한의 도구를 사용하는 것으로 알려져 있지만 FRP 역방향 프록시 도구와 여러 웹 셸을 사용하여 명령 및 제어(C2) 서버로 데이터를 전달했습니다. Voltzite가 사용하는 것입니다.

유틸리티는 사이버 방어에 대해 지금 조치를 취해야 합니다

파괴적인 의도는 분명하지만 지금까지 Dragos는 Voltzite가 ICS/OT 자산 또는 운영을 방해, 저하 또는 파괴할 수 있는 작업이나 기능을 성공적으로 보여주는 것을 보지 못했습니다. 그러나 그렇다고 상황이 변하지 않을 것이라는 의미는 아닙니다.

ICIS(Independent Commodity Intelligence Services)의 에너지 시장 전문가인 Aura Sabadus는 해커가 송전 시스템이나 발전소를 비활성화하면서 에너지 유틸리티에 대한 공격이 2020년에서 2022년 사이에 두 배 이상 증가했다고 지적합니다. Volt Typhoon과 같은 새로운 진입자가 중요한 가스, 전기 및 수자원 인프라에 대한 실존적 위협을 나타냄에 따라 최악의 시나리오를 방지하려면 더 많은 투자가 필요할 것입니다.

그녀는 "전 세계의 많은 유틸리티 기업이 사이버 공격에 맞서기 위해 상당한 예산을 투자하고 있지만 많은 기업이 여전히 대응 모드에 머물고 있으며 장기적인 전략을 갖고 있지 않은 것 같습니다."라고 말합니다. "점증하는 위험에 대응하려면 대규모 투자가 필요하지만 동시에 재생 가능한 형태의 발전을 확장하는 데 필요한 예산을 잠식할 수도 있습니다."

보호를 강화하기 위해 Dragos는 조직이 SANS Institute의 세계적 수준의 OT 사이버 보안을 위한 5가지 주요 제어를 구현할 것을 권장합니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/vulnerabilities-threats/volt-typhoon-hits-multiple-electric-cos-expands-cyber-activity