미국 인프라를 겨냥한 이란 사이버 공격, DHS 경고

미국의 주요 사이버 보안 및 정보 기관들이 월요일에 강력한 경고를 발표했습니다: 이란 국가 지원 해커와 관련 해커 집단이 미국 방어 시스템, 중요 인프라 및 산업 네트워크를 겨냥한 사이버 공격을 강화할 것으로 예상됩니다. 특히 이스라엘과의 연관이 있는 시스템에 대해 더욱 그러합니다.

사이버 보안 및 인프라 보안 기관(CISA), 연방 수사국(FBI), 국방부 사이버 범죄 센터(DC3), 국가 안보국(NSA)은 미국 조직들이 이란 관련 사이버 행위자에 의한 미국의 중요 인프라 및 기타 미국 기관에 대한 잠재적인 표적 사이버 활동에 대해 경계를 유지할 것을 촉구했습니다. 위협이 빈도와 정교함이 증가하고 있습니다.

“공식적인 휴전 선언과 영구적인 해결을 위한 지속적인 협상에도 불구하고, 이란 관련 사이버 행위자와 해커 집단은 여전히 악의적인 사이버 활동을 수행할 수 있습니다.

작성 기관들은 상황을 계속 모니터링하고 있으며, 관련 사이버 위협 및 사이버 방어 정보를 이용 가능해지는 대로 발표할 것입니다.”라고 공동 권고문은 전했습니다.

아직 대규모 조정된 캠페인은 감지되지 않았지만, 기관들은 중동의 긴장이 계속 고조됨에 따라 이란 연계 해커들로부터 사이버 공격이 급증할 가능성에 대해 경고하고 있습니다.

위협 활동

방위 산업 기반(DIB) 기업—특히 이스라엘 연구 또는 방위 조직과 연결된 기업—이 더 높은 위험에 처해 있을 것으로 보입니다. 이러한 행위자들은 종종 패치되지 않은 소프트웨어, 알려진 취약점 및 기본 또는 약한 비밀번호를 이용하여 보안이 취약한 시스템을 악용합니다.

“이란 관련 사이버 행위자와 연계된 해커 집단은 종종 패치되지 않았거나 구식 소프트웨어의 사용, 알려진 일반 취약점(Common Vulnerabilities and Exposures, CVEs) 또는 인터넷에 연결된 계정 및 장치에서 기본 또는 일반 비밀번호의 사용을 기반으로 기회를 노리는 표적을 악용합니다.”라고 권고문은 덧붙였습니다.

이란 사이버 위협 그룹은 이슬람 혁명 수비대(IRGC)와 연관된 많은 그룹이 있으며, 자동화된 비밀번호 추측, 온라인 자원을 이용한 비밀번호 해시 크래킹, 기본 제조업체 비밀번호 입력 등의 다양한 기술을 사용하여 시스템을 침해하고 네트워크를 통해 탐지되지 않고 이동합니다.

운영 기술(OT) 시스템을 공격할 때, 그들은 성능, 보안 및 유지 관리 시스템을 손상시키기 위해 시스템 엔지니어링 및 진단 도구를 사용합니다.

최근 이란 연계 해커 집단은 웹사이트 변조 및 데이터 유출을 증가시켰으며, 미국 및 이스라엘 웹사이트에 대한 분산 서비스 거부(DDoS) 공격을 확대할 가능성이 높습니다. 또한, 이란 사이버 행위자들은 랜섬웨어 그룹과 협력하여 데이터를 암호화하고, 민감한 정보를 훔치며, 이를 온라인에 게시할 수 있습니다.

이전 위협 캠페인

2023년 11월부터 2024년 1월 사이에 이란 이슬람 혁명 수비대(IRGC)와 연관된 사이버 행위자들은 이스라엘에서 제조된 프로그래머블 로직 컨트롤러(PLC) 및 인간 기계 인터페이스(HMI)를 겨냥한 글로벌 사이버 캠페인을 시작하여 미국의 물, 에너지, 식품 및 의료 분야에 영향을 미쳤습니다.

위협 행위자들은 인터넷을 통해 접근할 수 있는 산업 제어 시스템(ICS)을 악용하였으며, 여전히 공장 기본 비밀번호를 사용하거나 비밀번호가 없는 시스템과 기본 전송 제어 프로토콜(TCP) 포트를 사용했습니다.

이스라엘-하마스 갈등에 대한 항의로, 이러한 이란 사이버 행위자들은 민감한 데이터를 훔치고 공개적으로 유출하기 위해 여러 해킹 및 유출 작업을 수행했으며, 종종 소셜 미디어를 통해 증폭되었습니다.

이 공격들은 재정적 손실, 평판 손상 및 사이버 보안에 대한 공공 신뢰를 약화시키는 것을 목표로 했습니다. 대부분의 표적이 이스라엘이었지만, 최소한 한 개의 미국 인터넷 프로토콜 텔레비전(IPTV) 회사도 영향을 받았습니다.

완화 조치

작성 기관들은 미국 및 외국 정부 파트너와 협력하여, 특히 중요 인프라에 있는 조직을 위한 즉각적인 조치를 제안합니다:

• OT 및 ICS 시스템을 공용 인터넷에서 식별하고 분리합니다.
• 약한/기본 비밀번호를 교체하고 피싱 저항 다단계 인증(MFA)을 구현합니다.
• 제조업체의 최신 소프트웨어 패치를 신속하게 적용합니다.
• 비정상적인 원격 접근 행동을 모니터링합니다.
• 전체 시스템 및 데이터 백업을 수행합니다.
• 관리자 권한을 제한하고 마이크로 세분화를 채택합니다.

추가 정보는 조직들이 CISA의 이란 위협 개요 및 FBI의 이란 위협 웹 페이지를 참조할 수 있습니다.