이달 초 수십 개의 우크라이나 기관을 표적으로 한 와이퍼 멀웨어 WhisperGate에 대한 최신 분석에서 2017년 우크라이나 인프라 및 기타 지역에 유포된 NotPetya 멀웨어와의 전략적 유사점이 밝혀졌다.
더해커뉴스에 따르면, 지난 주 마이크로소프트에서 발견한 WhisperGate 악성코드는 정부, 비영리단체, 정보 기술 기관을 표적으로 하는 파괴적인 사이버 캠페인으로, 코드명 DEV-0586로 불리는 위협 클러스터의 행위로 드러났다고 밝혔다.
시스코 탈로스(Cisco Talos)는 "WhisperGate는 랜섬웨어로 가장하여 마스터 부트 레코드(MBR)를 암호화하는 대신 파괴하는 것을 포함하여 2017년 우크라이나 엔티티를 공격한 악명 높은 NotPetya 와이퍼와 몇 가지 전략적 유사점을 가지고 있, 특히 추가 손상을 입히도록 설계된 더 많은 구성 요소가 있다"라고 대응 노력을 자세히 설명한 보고서에서 설명했다.
시스코 탈로스는 도난당한 자격 증명이 공격에 사용되었을 가능성이 있다고 말하면서 정교한 APT 공격의 전형적인 징후인 공격자가 침투가 발생하기 몇 달 전에 일부 피해자 네트워크에 액세스가 있었을 수 있음을 지적했다.
WhisperGate 감염 체인은 마스터 부트 레코드(MBR)를 지우는 페이로드를 다운로드한 다음 감염된 호스트의 고정 데이터로 콘텐츠를 덮어 씌어 파괴하는 악성 DLL 파일을 Discord 서버에서 다운로드하는 다단계 프로세스로 구성되어 있다.
이번 조사 결과는 약 80개의 우크라이나 정부 기관 웹사이트가 훼손된 지 일주일 만에 나온 것으로, 우크라이나 정보 기관은 이 두 사건이 핵심 인프라를 표적으로 하는 악의적인 활동의 일부임을 확인하고 공격에서 일부 손상된 시스템에 대한 액세스 권한을 얻기 위한 취약점으로 최근에 공개된 Log4j를 활용했다는 점에 주목했다.
와이어드(Wired)의 앤디 그린버그(Andy Greenberg)는 2015년 말 전력망을 겨냥해 정전 사태를 일으킨 공격에 대한 2017년 심층 분석에서 "러시아는 우크라이나를 사이버 전쟁 시험장으로 사용하고 있다. 이는 새로운 형태의 글로벌 온라인 전투를 완성하기 위한 실험실이다."라고 언급했었다.
시스코 탈로스의 연구원은 "우크라이나의 시스템은 세계 다른 지역의 시스템에는 적용되지 않을 수 있는 문제에 직면해 있으며 추가 보호 및 예방 조치를 적용해야 한다. 이러한 시스템이 패치되고 강화되었는지 확인하는 것이 이 지역이 직면한 위협을 완화하는 데 가장 중요하다"라고 말했다.
★정보보안 대표 미디어 데일리시큐!★