스턱스넷 (Stuxnet) 요약

스턱스넷(Stuxnet)

이란 부셰르 원전을 감염시킨 '스턱스넷(Stuxnet)'은 2010년 6월에 발견된 웜바이러스로

'국가의 주요 산업 시설 파괴'를 타깃으로 만들어졌기 때문에 위협의 새로운 패러다임 시대가 열린 것을 의미한다.

지금까지 등장한 악성코드가 자기 과시나 금전적인 이득을 목적으로 한 것과 달리 

스턱스넷은 단지 핵심 시설의 파괴만을 목표로 하고 있다. 이로 인해 악성코드가 사이버 무기화된 첫 번째 사례로 주목 받았다.

이 악성코드는 C&C(Command & Control) 서버를 통해 SCADA 시스템의 PLCs(programmable logic controllers)를 

제어하기 위한 프로그램 명령어를 받아와서 임의로 변경함으로써 악성코드 제작자가 원하는 동작을 수행하는 것을 가능하게 한다.

영향을 받는 환경

- SCADA 시스템에 지멘스(Siemens)의 WinCC/Step7 통합관리도구가 설치되어있는 경우
- PLC 타입이 6ES7-315-2 또는 6ES7-417인 경우
- Windows OS 기반의 시스템

스턱스넷 감염 프로세스

'스턱스넷’은 여러 개의 파일로 구성되며, 제로데이 취약점을 이용해서 산업자동화 제어시스템을 제어하는 PC에 

드롭퍼(Dropper, 스턱스넷의 핵심 모듈 파일을 생성하는 하는 파일)가 실행된다. 

이 드롭퍼는 정상 s7otbxdx.dll 파일의 이름을 변경해 백업하고 정상 s7otbxdx.dll 파일과 동일한 이름으로 자신의 파일을 생성한다. 

이후 업자동화제어시스템을 통합 관리하는 도구인 Step7을 실행하면 원래의 정상 파일이 아닌 스턱스넷이 실행된다. 

‘Step7’의 기능은 s7otbxdx.dll 파일을 통해서 제어 PC와 산업자동화 제어시스템 간에 블록 파일을 교환하는 것이다. 

이 파일을 스턱스넷의 DLL 파일로 바꾸면 산업자동화 제어시스템을 모니터링하거나 제어(수정 또는 악성 블록 생성)할 수 있다. 
이후 공격자는 모터, 컨베이어 벨트, 펌프 등의 장비를 제어하거나 심지어 폭발시킬 수도 있다. 즉, 산업 시설이 관리자가 아닌 

악의적 공격자에게 장악될 수 있는 것이다.

자세한 내용: https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist=2&seq=16852