맨디언트가 최근 러시아 정부와 관련된 것으로 추정되는 새로운 운영 기술(Operational Technology; 이하 OT) 멀웨어 ‘코스믹에너지(COSMICENERGY)’ 관련 보고서를 발표했다.

맨디언트에 따르면, 코스믹에너지는 유럽, 중동, 아시아의 송배전 작업에 흔히 사용되는 원격 단말 장치(RTUs)와 상호작용해 전력 장애를 일으키도록 설계됐다.

맨디언트는 러시아 사이버 보안 회사인 ‘로스텔레콤-솔라(Rostelecom-Solar)’의 계약자가 전원 중단 훈련 시뮬레이션을 위한 레드팀 툴의 일부로 해당 멀웨어를 생성했을 가능성이 있다고 추측하고 있다.

외신에 따르면, 로스텔레콤-솔라는 2019년에 러시아 정부 보조금을 받아 사이버 보안 전문가 교육과 전력 중단 및 비상 대응 훈련을 시작했다.

 맨디언트는 코스믹에너지에 대해 “공격자들이 표적 위협을 위해 레드팀 툴과 공개적 탈취 프레임워크를 사용한다는 점을 고려하면 전력망 자산에 무시하지 못할 위협을 준다"고 평가했다.

맨디언트가 파악한 코스믹에너지 OT 멀웨어의 주요 특징은 다음과 같다. 

• 코스믹에너지는 인더스트로이어(INDUSTROYER)와 인더스트로이어.V2(INDUSTRYER.V2)에서 관찰된 기능과 유사함.

• 코스믹에너지는 아이언게이트(IRONGATE), 트리톤(TRITON) 및 인컨트롤러(INCONTROLLER)를 포함한 다른 OT 멀웨어 계열과 주목할 만한 기술적 유사성을 지님.

• 코스믹에너지 멀웨어의 발견은 공격적인 OT 위협 활동에 대한 진입 장벽이 낮아지고 있음을 시사함.

맨디언트가 발표한 코스믹에너지 OT 멀웨어 관련 영문 보고서는 아래 링크에서 확인이 가능하다.

https://www.mandiant.com/resources/blog/cosmicenergy-ot-malware-russian-response