2024-03-29 14:20 (금)
러시아 군 해커들의 해킹 수법은 이렇다
상태바
러시아 군 해커들의 해킹 수법은 이렇다
  • 페소아 기자
  • 승인 2021.07.05 14:48
이 기사를 공유합니다

영국과 미국의 정보 기관이 발표한 공동 권고문에 따르면, 2019년 중반부터 러시아 군사 정보국이 기업 클라우드 환경을 대상으로 진행중인 무차별 대입 공격 캠페인을 주도해온 것으로 나타났다.

더해커뉴스에 따르면, 미국 국가안보국(NSA), 사이버보안인프라보안국(CISA), 연방수사국(FBI) 및 영국의 NCSC는 러시아 연방 참모본정보국(GRU) 85th 메인 스페셜 서비스 센터(GTsSS)의 공격을 공식 인정했다고 보도했다.

보도에서는, 위협 행위자는 APT28(FireEye), Fancy Bear(CrowdStrike), Sofacy(카스퍼스키), STRONTIUM(마이크로소프트), Iron Twilight(시큐어웍스)를 포함한 다양한 이름으로 추적된다.

APT28은 암호 스프레이 및 무차별 대입 로그인 시도를 활용하여 향후 감시 및 침입 작업을 가능하게 하는 유효한 자격 증명을 약탈한 전력이 있다. 2020년 11월 에는 마이크로소프트가 COVID-19 백신 및 치료 연구에 관련된 기업을 대상으로한 인증 획득 작전을 공개했다.

이번 공격에서 다른 점은 공격자가 무차별 대입 공격을 확장하기 위해 소프트웨어 컨테이너에 의존한다는 점이다.

CISA는 “이 캠페인은 전 세계 정부 및 민간 부문 대상의 기업 및 클라우드 환경에 대한 강력한 액세스 시도에 Kubernetes 클러스터를 사용한다.”라고 말한다.

또 “무차별 대입을 통해 자격 증명을 획득한 GTsSS는 원격 코드 실행 및 측면 이동을 통한 추가 네트워크 액세스를 위해 알려진 다양한 취약점을 사용한다.”고 전했다.

APT28이 침해한 조직 내부에서 피벗하고 내부 이메일 서버에 대한 액세스 권한을 얻기 위해 악용한 기타 보안 결함 중 일부는 아래와 같다.

CVE-2020-0688 - Microsoft Exchange 검증 키 원격 코드 실행 취약성

CVE-2020-17144 - Microsoft Exchange 원격 코드 실행 취약성

또한 CactusVPN, IPVanish, NordVPN, ProtonVPN, Surfshark 및 WorldVPN과 같은 상용 VPN 서비스와 Tor를 통한 브루트 포스 인증 시도를 포함하여 작전의 일부 구성 요소를 위장하기 위해 다양한 회피 기술을 사용한 것으로 알려졌다.

권고문에 따르면 이번 공격은 주로 정부와 군사, 방위 사업자, 에너지 회사, 고등 교육, 물류 회사, 로펌, 언론사, 정치 컨설턴트 또는 정당, 싱크탱크를 대상으로 미국과 유럽에 초점을 맞추고 있다.

기관들은 “네트워크 관리자는 대응을 위해 다단계 인증 사용을 채택하고 확장해야한다. 강력한 액세스 제어를 보장하기 위한 추가 완화에는 시간 제한 및 잠금 기능, 강력한 암호의 필수 사용, 액세스를 결정할 때 추가 속성을 사용하는 제로 트러스트 보안 모델 구현 및 비정상적인 액세스 감지하는 분석이 포함된다.”고 권고문에서 언급했다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★