기회주의적 핵티비스트들이 미국 수도 시설의 PLC를 노립니다.

12월 14일에 CISA의 CVE 정보로 업데이트되었습니다 .

예를 들어, 핵티비스트는 분쟁 중에 정치적 동기를 가진 메시지를 퍼뜨리고 어느 한 쪽에 편승하는 데 열중하는 경우가 많습니다. 현재 진행 중인 이스라엘과 하마스 간의 전쟁도 예외는 아니어서, 이스라엘의 정수장 10곳에 침투했다고 주장하는 '사이버에이브3엔저'라는 단체가 있습니다. 

미국의 사이버 보안 리더들은 이 그룹의 활동이 펜실베이니아주 알리퀴파에 있는 비교적 작은 수도 시설로 확산되자 주목했습니다. 11월 25일에 6,600명 이상의 고객에게 안전한 물 공급을 유지하기 위해 관리자들이 수동 프로세스에 의존할 수밖에 없었던 부스터 스테이션 중 하나에 대한 파괴적인 공격이 보고된 바 있습니다. 

알리키파 시 수도청(MWAA) 관계자는 공공 안전이 위험에 처한 적은 없으며 경찰이 수사를 위해 투입되었다고 밝혔습니다. 초기 침입에 대한 자세한 내용은 알려지지 않았지만, 이스라엘의 유니트로닉스라는 회사에서 제조한 PLC/HMI 장치가 표적이었습니다. 침입 과정에서 여러 대의 보안 카메라도 손상되었는데, 이 역시 CyberAv3ngers의 소행으로 보입니다. 

공격자들은 아래와 같은 메시지를 남겼습니다: "모든 '메이드 인 이스라엘' 장비는 CyberAv3ngers의 법적 표적입니다." 이 그룹이 메시지에서 이스라엘 기술을 언급한 것은 이번이 처음입니다.

핵티비스트의 제어 시스템 접근을 입증하는 공격

MWAA 공격에 대해 파악한 내용은 다음과 같습니다. 

전체 시스템에 수압과 흐름을 유지하는 펌프인 MWAA 부스터 스테이션은 공격 당시 관계자들에게 경보를 발령했고, 관계자들은 즉시 스테이션을 폐쇄하고 수동 작업을 시작했다고 밝혔습니다. 

"그들은 우리 시스템의 높은 곳에 압력을 조절하는 펌프 외에는 실제 정수 처리장이나 시스템의 다른 부분에 접근하지 못했습니다."라고 MWAA의 회장인 Matthew Mottes는 현지 언론과의 인터뷰에서 말했습니다. "이 펌프는 기본 네트워크와 분리된 자체 컴퓨터 네트워크에 있었고 물리적으로 몇 마일 떨어진 곳에 있었습니다."

손상된 유니트로닉스 V570 PLC/HMI는 최소한 훼손되어 공격자가 최소한 장치에 액세스할 수 있었음을 나타냅니다. 공격자가 이러한 액세스를 사용하여 네트워크의 다른 곳으로 이동하여 장치를 손상시키거나 운영을 방해했는지 여부는 확실하지 않습니다. 

PLC에서 데이터를 프로그래밍, 업로드 및 다운로드하는 데 사용되는 개발 환경 및 엔지니어링 워크스테이션인 유니트로닉스 VisiLogic 소프트웨어에서 원격으로 악용 가능한 취약점이 있다는 보고가 이전에 있었습니다. 유니트로닉스는 이러한 문제를 해결했으며, 당시에는 알려진 공개 익스플로잇은 없었습니다. 

12월 14일, CISA는 CVE-2023-6448 및 유니트로닉스 비전 시리즈 PLC 및 HMI의 기본 관리 암호 사용에 대한 권고를 발표했습니다. 유니트로닉스는 이 취약점을 CISA에 자체 보고했으며 사용자에게 VisiLogic 버전 9.9.00으로 업데이트할 것을 권장합니다.

보안 회사 포스카우트는 유니트로닉스 디바이스를 스캔하고 핑거프린팅하기 위한 메타스플로잇 모듈과 스크립트의 존재에 대해서도 언급했습니다. 이러한 툴이 MWAA 공격에 사용되었는지 여부는 알려지지 않았습니다. 

쇼단에서 유니트로닉스 장치를 검색한 결과 인터넷에 연결된 장치가 2,000개에 육박하며, 이 중 300여 대의 V570 시리즈 장치가 포함되어 있습니다. 지난 4월 이스라엘에서 요르단 계곡의 12개 농장과 하수 회사의 수처리 제어 시스템에 영향을 미친 파괴적인 공격의 중심에도 유니트로닉스 PLC가 있었습니다. 공개된 보고서에 따르면 이 PLC는 인터넷에 연결되어 있었으며 관리자가 변경하지 않은 기본 비밀번호로만 보호되고 있었습니다. 

유니트로닉스 문서에 따르면 일부 PLC는 원격 액세스 기술로 VNC를 지원합니다. VNC는 원격 장비에 대한 지원 및 유지 관리 목적으로 사용되는 데스크톱 공유 애플리케이션입니다. 예를 들어 공격자는 특정 쇼단 검색을 생성하여 VNC 포트가 열려 있는 유니트로닉스 장치를 식별하고 인증이 비활성화되었는지 여부를 확인할 수 있습니다. 기본 비밀번호, 알려진 비밀번호 또는 쉽게 추측할 수 있는 비밀번호도 이러한 시스템을 무차별 암호 대입 공격의 위험에 노출시킵니다. 

완화

사이버보안 인프라 및 보안 기관(CISA)도 이번 주에 법 집행 기관과 함께 MWAA 사건에 대응하고 있다는 경고를 발표했습니다. 이 기관은 다른 시설도 MWAA 사건과 같은 유사한 기회주의적 공격의 표적이 될 수 있다고 경고했습니다. CISA는 경보에서 취약한 비밀번호 보안과 안전하지 않은 인터넷 연결과 같은 '사이버 보안 취약점'이 악용되었을 가능성이 있다고 밝혔습니다. 

CISA는 유니트로닉스 사용자에게 권장합니다:

• 모든 PLC 및 HMI의 기본 비밀번호(1111)를 변경합니다.

• 내부 및 외부 네트워크에서 OT 시스템으로의 원격 액세스를 위한 다단계 인증 구현

• 인터넷에서 PLC 제거

• 방화벽 또는 VPN을 통한 원격 연결 보안; PLC 또는 HMI가 지원하지 않는 경우 방화벽 또는 VPN에 다중 요소 인증을 배포할 수 있습니다.

• PLC 및 HMI 애플리케이션의 백업 및 사용 가능 여부 확인

• 타겟팅할 수 있는 기본 포트 변경(유니트로닉스의 경우 20256, VNC의 경우 5900)

• PLC 버전이 최신 상태인지 확인
  

테이크아웃

핵티비스트들은 계속해서 군사 및 정치적 분쟁에 자신들의 활동을 주입하고 연계할 것이며, 이러한 사건은 무력 충돌이 발생하는 지역에만 국한되지 않을 수 있습니다. 사소한 공격도 파괴적일 수 있으므로 조직은 비밀번호 보안, 안전한 원격 액세스 등 최소한의 보안 조치를 준수하여 이러한 공격을 무력화할 수 있도록 해야 합니다. 

상하수도 중요 인프라 부문은 2년 전부터 인적 및 재정적 자원부터 위협 인텔리전스, 보안 툴링에 이르기까지 모든 분야에 걸쳐 직면한 주요 사이버 보안 과제를 파악해 왔습니다. 개선이 필요한 분야로는 제어 시스템의 인터넷 노출 최소화, 취약점 식별 및 해결, OT 시스템에 대한 안전한 원격 액세스 등이 있었습니다. 

이는 16개 중요 인프라 부문의 조직에 대해 기본적인 보안 위생이 최소한의 기준이라는 CISA를 비롯한 연방 정부의 조언과 일치합니다. 또한 MWAA 공격은 보안 리더들에게 모든 조직이 대규모 기회주의 공격의 위험에 노출되어 있으며, 이는 빠르게 혼란을 야기할 수 있다는 점을 강조해야 합니다.