2024년 1월, 러시아와 연관된 맬웨어 'FrostyGoop'이 우크라이나 Lviv의 시내 난방 공급 회사를 공격하여 600여 채의 아파트 건물의 난방을 차단했습니다. 이 맬웨어는 모든 산업 분야에서 표준 ICS 프로토콜인 Modbus TCP 통신을 이용하는 산업 제어 시스템을 공격하는 것으로 설계되었습니다. 이 맬웨어는 2024년 4월에 Dragos라는 사이버 보안 회사에 의해 처음 발견되었으며, 이 회사의 연구원들은 처음에는 이 맬웨어가 아직 테스트 단계에 있다고 생각했습니다.

그러나 우크라이나의 사이버 보안 상황 센터(CSSC)는 이 맬웨어가 공격에 사용되고 있으며, Lviv의 난방 중단과 연관이 있다고 밝혔습니다. Lviv의 시내 난방 공급 회사에 대한 이 공격은 2024년 1월 22일 저녁부터 23일까지 이루어졌으며, 이 기간 동안 시민들은 영하의 기온을 견뎌야 했습니다. FrostyGoop은 야생에서 발견된 9번째 ICS 맬웨어로, 대부분이 러시아의 위협 그룹과 공격 인프라와 연관되어 있습니다.

Lviv에서 2024년 1월에 발생한 사이버 공격에 대한 조사 결과, 공격자들은 피해자의 네트워크에 거의 1년 전인 2023년 4월 17일에 처음 침입했을 수 있다는 것이 밝혀졌습니다. 이들은 인터넷에 노출된 Mikrotik 라우터의 알려지지 않은 취약점을 이용했습니다. 공격 당일, 공격자들은 모스크바 기반의 IP 주소를 사용하여 L2TP 연결을 통해 지역 에너지 회사의 네트워크 자산에 접근했습니다.

요약

- 2024년 1월, 러시아와 연관된 맬웨어 'FrostyGoop'이 우크라이나 Lviv의 시내 난방 공급 회사를 공격하여 600여 채의 아파트 건물의 난방을 차단했다.
- 이 맬웨어는 모든 산업 분야에서 표준 ICS 프로토콜인 Modbus TCP 통신을 이용하는 산업 제어 시스템을 공격하는 것으로 설계되었다.
- Lviv에서 2024년 1월에 발생한 사이버 공격에 대한 조사 결과, 공격자들은 피해자의 네트워크에 거의 1년 전인 2023년 4월 17일에 처음 침입했을 수 있다는 것이 밝혀졌다.
- 공격 당일, 공격자들은 모스크바 기반의 IP 주소를 사용하여 L2TP 연결을 통해 지역 에너지 회사의 네트워크 자산에 접근했다.
- Dragos는 산업 조직들에게 SANS 5 Critical Controls for World-Class OT Cybersecurity를 구현할 것을 권고하고 있다.

Reference

https://www.bleepingcomputer.com/news/security/frostygoop-malware-attack-cut-off-heat-in-ukraine-during-winter/

*※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.*