Wiper Malware

7월 초, 이란 교통부와 이란 국영 철도 시스템 대상 사이버 공격은 이란 內 열차 서비스에 광범위한 차질을 빚었다.

이란 보안업체 “Amn Pardaz(社)” 및 美 보안업체 “SentineOne(社)” 발표에 따르면 “MeteorExpress”라고 명명된 해당 공격 캠페인은 이전에 확인된 위협 행위자 또는 추가 공격과의 연관성을 찾지 못했기 때문에 새로운 와이퍼 멀웨어 배포와 관련된 첫 번째 사건으로 알려진다. 뿐만 아니라 보안연구원들은 해당 위협행위자는 이번 공격을 위해 3년 간 작업에 들어간 것으로 보고있다.

SentinelOne의 수석 연구원은 “특정 침해지표가 없었음에도 불구하고 대부분의 공격 구성 요소를 복구할 수 있었다. 공격은 피해자의 시스템을 무력화시키도록 설계되어 백업 등을 통한 간단한 문제 해결에 의존할 수 없다”고 밝혔다.

한 편 지난 7월 9일, 이란의 열차 시스템은 사이버 공격의 여파로 수 백 대의 열차가 지연되거나 운행이 취소되었을 뿐만 아니라 승객들이 보는 화면에 이란 최고 지도자 알리 하메네이의 사무실 번호를 띄우고 열차 불편 사항을 접수받도록 해 전례 없는 혼란을 가중시켰다.

한 편 이번 공격에 사용된 와이퍼 멀웨어 “Meteor”는 사용자 비밀번호를 변경하거나 임의로 프로세스를 종료, 복구 모드 비활성화 등 악의적인 명령을 실행하는 것으로 알려졌다. 특히 이미 중복적으로 사용된 바 있는 소프트웨어와 오픈 소스 구성 요소들을 혼합한 형태로 제작되었다.

이와 관련 SetinelOne 수석 연구원은 공격자들이 이미 표적의 설정, 표적이 사용하는 백업 시스템에 대해 잘 알고 있었다고 분석하며 이전에 알려지지 않은 위협 행위자가 공공 철도 인프라에 대해 와이퍼 멀웨어를 활용하려는 의도가 담겨있다고 밝혔다.

[출처 : TheHackerNews / 7.30.]