얼마 전, 보안업체 파이어아이 연구원이 Havex RAT의 새로운 변종을 발견했다. 이 변종은 핵심 기초시설, 에너지와 제조영역의 스카다(SCADA) 시스템 중 OPC 서버를 스캐닝해 제어할 수 있는 것으로 알려졌다.
 
OPC는 통신 프로토콜의 일종이다. Windows 기반인 SCADA 시스템 사이 또는 기타 산업용 제어 시스템 어플리케이션과 하드웨어 사이의 통신을 허용한다. 새로운 Havex 변종은 OPC 프로토콜을 사용하는 클라이언트 또는 서버의 시스템에 저장된 정보와 데이터를 절취할 수 있다.
 
파이어아이 연구원은 블로그를 통해 “공격자는 이미 Havex를 이용해 에너지 관련 부문을 1년 이상 공격했다. 하지만 아직도 산업용 제어 시스템의 피해 정도를 알 수 없다. 앞으로 Havex의 OPC 스캐닝 component를 철저하게 점검할 것이다”라고 밝혔다.
 
현재 해당 보안업체 연구원은 전형적인 OPC서버 환경을 구축해 새로운 변종 바이러스 기능을 실시간 테스트 중이다.
 
만약 네트워크에 연결되면 Havex 다운로드 프로그램은 DLL 출력 기능을 호출해 스카다 네트워크의 OPC 서버에 대한 스캐닝을 실행한다. 또한 OPC 서버의 위치를 검색하기 위하여 해당 스캐너 모듈은 마이크로소프트의 WNet(windows networking) 기능을 사용하며, 네트워크 자원 또는 존재하는 연결을 목록화 한다.
 
게다가 블로그에서는 “스캐너는 WNet 서비스를 통해 글로벌 액세스가 가능한 서버 리스트를 작성했으며, 이 서버 리스트에 대한 검사를 통해 COM component에 open한 인터페이스가 존재하는지 확인한다”고 소개했다.
 
OPC 스캐닝 모듈을 통해 Havex 최신 변종은 관련 네트워크 장비에 대한 정보를 수집할 수 있으며 따라서 이러한 정보를 C&C서버에 전송한다.
 
하지만 전문가들은 아직까지 변종 바이러스를 이용한 하드웨어 제어 행위를 포착하지 못했다.
 
<★가장 많은 해외 정보보안 소식 데일리시큐!★>
 
[뉴스제공. 중국 보안정보 전문기업 씨엔시큐리티 / www.cnsec.co.kr]