스턱스넷이란?

사이버 보안과 관련하여 뉴스를 만드는 것은 일반적으로 데이터 유출입니다. 이러한 사고는 많은 사람들에게 영향을 미치며 데이터 유출을 받는 회사에 끔찍한 뉴스의 날을 나타냅니다. 훨씬 덜 자주, 스스로를 보호할 수 없는 회사의 데이터 유출을 알리는 새로운 제로 데이 익스플로잇에 대해 듣게 됩니다. 사용자에게 직접적인 영향을 미치지 않는 사이버 사고에 대해 듣는 경우는 그리 많지 않습니다. Stuxnet은 드문 예외 중 하나입니다.

웜밍 그 방법

Stuxnet은 맬웨어 변종의 이름입니다. 정확히는 웜입니다. 웜은 감염된 장치에서 다른 장치로 자동 전파될 수 있는 모든 맬웨어를 지칭하는 데 사용되는 용어입니다. 이렇게 하면 단일 감염이 훨씬 더 큰 규모의 감염으로 이어질 수 있으므로 빠르게 확산될 수 있습니다. 이것은 Stuxnet을 유명하게 만든 것도 아닙니다. 그렇게 많은 감염을 일으키지 않았기 때문에 얼마나 널리 퍼졌는지도 마찬가지였습니다. Stuxnet을 돋보이게 만든 것은 대상과 기술이었습니다.

Stuxnet은 이란의 핵 연구 시설에서 처음 발견되었습니다. 특히 나탄즈 시설. 이에 대한 몇 가지 사항이 눈에 띕니다. 첫째, Natanz는 우라늄 농축 작업을 하는 원자 시설이었습니다. 둘째, 시설이 인터넷에 연결되어 있지 않았습니다. 이 두 번째 지점은 맬웨어로 시스템을 감염시키기 어렵게 만들고 일반적으로 "에어 갭"으로 알려져 있습니다. 에어 갭은 일반적으로 인터넷 연결이 적극적으로 필요하지 않은 취약한 시스템에 사용됩니다. 업데이트 설치가 더 어려워지지만 위협 요소도 줄어듭니다.

이 경우 Stuxnet은 USB 스틱을 사용하여 에어 갭을 "점프"할 수 있었습니다. 정확한 이야기는 알 수 없으며 두 가지 인기있는 옵션이 있습니다. 더 오래된 이야기는 USB 스틱이 시설의 주차장에 몰래 떨어졌고 지나치게 호기심이 많은 직원이 꽂았다는 것입니다. 최근 이야기는 시설에서 일하는 네덜란드 두더지가 USB 스틱을 꽂거나 다른 사람에게 일을 시켰다고 주장합니다. 그래서. USB 스틱의 맬웨어에는 Stuxnet에서 사용된 4개의 제로데이 익스플로잇 중 첫 번째가 포함되었습니다. 이 제로데이는 USB 스틱이 Windows 컴퓨터에 연결되었을 때 자동으로 악성코드를 시작했습니다.

스턱스넷의 표적

Stuxnet의 주요 목표는 Natanz 핵 시설로 보입니다. 다른 시설도 영향을 받았으며 이란은 전 세계 감염의 거의 60%를 목격했습니다. Natanz는 핵 시설로서의 핵심 기능 중 하나가 우라늄 농축이기 때문에 흥미진진합니다. 원자력 발전소에는 저농축 우라늄이 필요하지만 우라늄 기반 핵폭탄을 만들려면 고농축 우라늄이 필요합니다. 이란은 원자력 발전소에서 사용하기 위해 우라늄을 농축하고 있다고 밝히고 있지만, 국제적인 우려는 이란이 핵무기 제조를 시도할 수 있다는 점입니다.

우라늄을 농축하려면 U234, U235, U238의 세 가지 동위원소를 분리해야 합니다. U238은 지금까지 가장 자연적으로 풍부하지만 원자력이나 핵무기 사용에는 적합하지 않습니다. 현재 방법은 원심분리기를 사용하는데 회전으로 인해 다른 동위원소가 무게별로 분리됩니다. 여러 가지 이유로 프로세스가 느리고 시간이 많이 걸립니다. 비판적으로 사용되는 원심 분리기는 매우 민감합니다. Natanz의 원심분리기는 1064Hz에서 회전했습니다. Stuxnet은 원심 분리기가 최대 1410Hz에서 최대 2Hz로 더 빠르게 회전한 다음 더 느리게 회전하도록 했습니다. 이로 인해 원심 분리기에 물리적 스트레스가 발생하여 치명적인 기계적 고장이 발생했습니다.

이 기계적인 고장은 이란의 우라늄 농축 과정을 늦추거나 중단하려는 것으로 추정되는 의도된 결과였습니다. 이로 인해 Stuxnet은 국가의 능력을 저하시키는 데 사용되는 사이버 무기의 첫 번째 알려진 사례가 되었습니다. 또한 실제 세계에서 하드웨어의 물리적 파괴를 초래한 모든 형태의 맬웨어가 처음으로 사용되었습니다.

Stuxnet의 실제 프로세스 – 감염

Stuxnet은 USB 스틱을 사용하여 컴퓨터에 도입되었습니다. 제로데이 익스플로잇을 사용하여 Windows 컴퓨터에 자동으로 연결될 때 자동으로 실행되었습니다. USB 스틱이 주요 목표로 사용된 Natanz 핵 시설은 에어 갭이 있고 인터넷에 연결되지 않았습니다. USB 스틱은 시설 근처에서 "떨어뜨려" 직원이 부지불식간에 삽입했거나 시설의 네덜란드 두더지가 도입했습니다. 이에 대한 세부 사항은 확인되지 않은 보고서를 기반으로 합니다.

이 악성코드는 제로데이 취약점을 통해 USB 스틱을 삽입했을 때 윈도우 컴퓨터를 감염시켰다. 이 취약점은 아이콘을 렌더링하고 원격 코드 실행을 허용하는 프로세스를 대상으로 합니다. 결정적으로 이 단계에서는 USB 스틱을 삽입하는 것 외에 사용자 상호 작용이 필요하지 않았습니다. 이 맬웨어에는 루트킷이 포함되어 있어 운영 체제를 깊숙이 감염시키고 바이러스 백신과 같은 도구를 포함한 모든 것을 조작하여 자신의 존재를 숨길 수 있습니다. 도난당한 한 쌍의 드라이버 서명 키를 사용하여 자체적으로 설치할 수 있었습니다.

팁: 루트킷은 탐지 및 제거가 매우 어려운 특히 고약한 바이러스입니다. 그들은 안티바이러스 소프트웨어를 포함한 전체 시스템을 수정하여 그 존재를 탐지할 수 있는 위치에 있습니다.

그런 다음 맬웨어는 로컬 네트워크 프로토콜을 통해 다른 연결된 장치로 확산을 시도했습니다. 일부 방법은 이전에 알려진 익스플로잇을 사용했습니다. 그러나 하나는 Windows 프린터 공유 드라이버의 제로데이 취약점을 사용했습니다.

흥미롭게도 이 맬웨어에는 장치가 세 개의 서로 다른 장치를 감염시킨 후 다른 장치 감염을 비활성화하는 검사가 포함되어 있습니다. 그러나 이러한 장치는 각각 다른 세 개의 장치 등을 자유롭게 감염시킬 수 있었습니다. 또한 2012년 6월 24일에 악성코드를 자동으로 삭제하는 검사도 포함되었습니다.

Stuxnet의 실제 프로세스 – 착취

일단 확산되면 Stuxnet은 감염된 장치가 목표인 원심 분리기를 제어할 수 있는지 확인했습니다. Siemens S7 PLC 또는 Programmable Logic Controller가 원심분리기를 제어했습니다. PLC는 Siemens PCS 7, WinCC 및 STEP7 산업 제어 시스템(ICS) 소프트웨어로 프로그래밍되었습니다. 설치된 세 가지 소프트웨어 중 어느 것도 찾을 수 없는 경우 대상에 영향을 미칠 수 없는 맬웨어가 발견되는 위험을 최소화하기 위해 다른 작업을 수행하지 않고 휴면 상태를 유지합니다.

ICS 응용 프로그램이 설치되어 있으면 DLL 파일을 감염시킵니다. 이를 통해 소프트웨어가 PLC로 보내는 데이터를 제어할 수 있습니다. 동시에, 하드코딩된 데이터베이스 비밀번호 형태의 세 번째 제로데이 취약점이 애플리케이션을 로컬에서 제어하는 ​​데 사용됩니다. 이를 통해 맬웨어는 PLC의 프로그래밍을 조정하고 ICS 소프트웨어에서 그렇게 했다는 사실을 숨길 수 있습니다. 모든 것이 정상임을 나타내는 잘못된 판독 값을 생성합니다. 프로그래밍을 분석하고, 악성코드를 숨기고, 스핀 속도를 보고할 때 이를 수행하여 실제 효과를 숨깁니다.

그런 다음 ICS는 Siemens S7-300 PLC만 감염시키며, 그 경우에도 PLC가 두 공급업체 중 하나의 가변 주파수 드라이브에 연결된 경우에만 감염됩니다. 감염된 PLC는 드라이브 주파수가 807Hz에서 1210Hz 사이인 시스템만 실제로 공격합니다. 이것은 전통적인 원심분리기보다 훨씬 빠르지만 우라늄 농축에 사용되는 전형적인 가스 원심분리기입니다. PLC는 또한 감염되지 않은 장치가 실제 회전 속도를 보지 못하도록 하는 독립적인 루트킷을 얻습니다.

결과

Natanz 시설에서는 원심분리기 범위가 1064Hz이므로 이러한 모든 요구 사항이 충족되었습니다. 일단 감염되면 PLC는 원심분리기를 1410Hz까지 15분 동안 확장한 다음 2Hz로 떨어졌다가 다시 1064Hz로 회전합니다. 한 달 동안 반복적으로 수행된 이 작업으로 인해 Natanz 시설에 있는 약 천 개의 원심 분리기가 고장났습니다. 이것은 회전 속도의 변화가 알루미늄 원심 분리기에 기계적 응력을 가하여 부품이 팽창하고 서로 접촉하여 기계적으로 고장났기 때문에 발생했습니다.

이 시기에 약 1000개의 원심분리기가 폐기되었다는 보고가 있지만 고장이 얼마나 치명적인지에 대한 증거는 거의 또는 전혀 없습니다. 손실은 기계적이며 부분적으로 응력 및 공진 진동에 의해 유발됩니다. 실패는 또한 매우 빠르게 회전하는 거대하고 무거운 장치에 있으며 극적일 가능성이 높습니다. 또한 원심분리기에는 독성, 부식성 및 방사성 물질인 육불화우라늄 가스가 포함되어 있었을 것입니다.

기록에 따르면 웜은 작업에 효과적이었지만 100% 효과적이지는 않았습니다. 이란이 소유한 기능성 원심분리기의 수는 4,700개에서 약 3,900개로 떨어졌습니다. 또한 모두 비교적 빠르게 교체되었습니다. 나탄즈 시설은 감염의 해인 2010년에 전년도보다 더 많은 우라늄을 농축했다.

웜도 기대만큼 교묘하지 않았습니다. 원심 분리기의 임의적인 기계적 고장에 대한 초기 보고는 전조가 Stuxnet을 유발했음에도 불구하고 의심할 여지가 없는 것으로 밝혀졌습니다. 스턱스넷은 ​​더 활동적이었고 Windows 컴퓨터가 때때로 충돌하기 때문에 호출된 보안 회사에 의해 식별되었습니다. 이러한 동작은 메모리 악용이 의도한 대로 작동하지 않을 때 나타납니다. 이것은 궁극적으로 실패한 원심분리기가 아닌 Stuxnet의 발견으로 이어졌습니다.

속성

Stuxnet의 속성은 그럴듯한 부인 가능성에 싸여 있습니다. 그러나 범인은 미국과 이스라엘로 널리 추정된다. 두 나라 모두 이란과 강한 정치적 이견을 갖고 있으며 이란이 핵무기 개발을 시도하고 있다는 두려움 때문에 핵 프로그램에 깊이 반대하고 있습니다.

이 속성에 대한 첫 번째 힌트는 Stuxnet의 특성에서 나옵니다. 전문가들은 5~30명의 프로그래머로 구성된 팀이 작성하는 데 최소 6개월이 걸렸을 것으로 추정했습니다. 또한 Stuxnet은 4개의 제로데이 취약점을 사용했는데, 이는 한 번에 들어본 적이 없는 숫자입니다. 코드 자체는 모듈식이었고 확장하기 쉬웠습니다. 그것은 산업 제어 시스템을 대상으로 한 다음 특별히 일반적이지 않은 시스템을 대상으로 했습니다.

탐지 위험을 최소화하기 위해 매우 구체적으로 표적화되었습니다. 또한 액세스하기가 매우 어려웠을 훔친 드라이버 인증서를 사용했습니다. 이러한 요소는 매우 유능하고 의욕적이며 자금이 충분한 소스를 가리키며 거의 확실하게 국가 국가 APT를 의미합니다.

미국의 개입에 대한 구체적인 힌트에는 이전에 NSA의 일부로 널리 알려진 Equation 그룹에 기인한 제로데이 취약점 사용이 포함됩니다. 이스라엘의 참여는 기여도가 약간 낮지만 다른 모듈의 코딩 스타일 차이는 적어도 두 개의 기여 당사자가 존재함을 크게 암시합니다. 또한 날짜로 변환하면 이스라엘에 정치적으로 중요한 숫자가 두 개 이상 있습니다. 이스라엘은 또한 스턱스넷이 배치되기 직전에 이란 핵무기에 대한 예상 일정을 조정하여 의심되는 프로그램에 대한 임박한 영향을 알고 있음을 나타냅니다.

결론

스턱스넷은 ​​자가 증식하는 웜이었습니다. 그것은 사이버 무기의 첫 번째 사용이자 실제 세계를 파괴하는 최초의 맬웨어 사례였습니다. 스턱스넷은 ​​우라늄 농축 능력을 저하시키기 위해 주로 이란 나탄즈 핵 시설에 배치되었습니다. 4개의 제로데이 취약점을 사용했으며 매우 복잡했습니다. 모든 징후는 미국과 이스라엘을 의심하는 국가 APT에 의해 개발되고 있음을 나타냅니다.

스턱스넷은 ​​성공했지만 이란의 우라늄 농축 공정에 의미 있는 영향을 미치지는 못했습니다. 또한 평시에도 사이버 무기를 사용하여 물리적 피해를 입힐 수 있는 문을 열었습니다. 다른 많은 요인이 있었지만 사이버 보안에 대한 정치, 대중 및 기업의 인식을 높이는 데도 도움이 되었습니다. Stuxnet은 2009-2010년에 배포되었습니다.