블랙에너지(BlackEnergy) 3 멀웨어

1. 블랙에너지(BlackEnergy) 3 멀웨어를 사용한 사례

2016년 우크라이너의 전력 발전소에 악성코드를 통해 대규모 정전사태를 일으킴

 

2. 공격 방안

①스피어피싱 이메일을 통해 멀웨어를 뿌림

②이메일을 통해 블랙에너지 3 멀웨어는 패치가 되지 않은 오피스가 설치된 시스템을 찾아 매크로를 발동

   (네트워크 스니핑을 하기위해)

③매크로를 이용하여 페이로드를 시스템에 퍼트림

   ->이를 통헤, 로그인 정보를 포함한 많은 정보를 획득

④또한 킬디스크(KillDisk)라는 디스크 삭제 멀웨어가 함께 사용

   ->이를 통헤, 수동 통제로 전환되고 시스템 전체가 약해짐

(air-gap(망분리)처리되었어야 할 시스템이 인터넷에 연결되어 있었음)

 

★대립 되는 의견

"정말로 정전을 직접 일으킬 정도로 블랙에너지 멀웨어와 킬디스크가 치명적인 작용을 했다면,

 정전사태 이후 다시 전기가 복구되기까지 걸린 시간이 말도 안되게 짧다"

 

★3년 후, 블랙에너지 공격이 발생하고 난 후 공격 조직이 두 개의 하위 조직으로 분리되어 활동

-그레이에너지 : 정찰과 정보 수집을 목적으로 움직이는 그룹, 텔레봇츠보다 더 조용하게 움직이고

                     더 위험할 수 있음

-텔레봇츠 : 이미 이뤄지고 있는 정상적인 운영과 기능을 중단, 마비, 파괴시키는 것을 목적

(다른 성격을 가진 두 개의 조직이지만, 서로 친밀하게 협력하고 있다.)

 

참고 : www.itworld.co.kr/t/36/%EB%B3%B4%EC%95%88/97552

       : blog.naver.com/widgetnuri4/221384725914