스위스 방위 하청업체 RUAG와 스위스 정부의 침해사고 대응팀인 GovCERT가 2014년 있었던 네트워크 침투 공격의 상세 내용을 공개했다. RUAG은 방위 사업, 항공우주 산업, 탄약 기술 사업을 하고 있다.
 
해당 침투 공격은 올해 초에야 ‘NZZ am Sonntag(노이에취리허자이퉁)’이 스위스의 DRA10이라는 비밀 특수 공격 유닛에 접근하기 위해 RUAG에의 접근을 사용했다고 보도하면서 발견되었다.

 
GovCERT 하위의 정보보증을 위한 분석 보고 센터인 MELANI는 해당 해킹 사고에 대한 분석을 공개하고 있다. 기관은 해킹 사고에 대한 통찰력과 보안을 제공하기 위해 사고 분석 정보를 제공하고 있다고 밝혔다.
 
SANS의 Rick Wanner는 해당 공격이 특별히 은밀하거나 발전되어있지는 않다고 말한다. 또한 이번 공격이 성공한 것은 RUAG 네트워크에 접근한 후 흥미있는 타깃을 식별하는데 공들였기 때문이라고 덧붙였다.
 
공개된 보고서는 “공격자들은 타깃 IP 주소 리스트를 사용했고, 최초 멀웨어 감염 전후로 대규모 핑거프린팅을 사용했다. 네트워크에 침입한 이후, 다른 디바이스를 감염시키고 더 높은 권한을 얻으면서 이동했다. 특히, 공격자들은 다른 디바이스를 통제하기 위한 RUAG 네트워크의 Active Directory에 접근하고, 적정 권한과 그룹 멤버쉽을 사용하기 위한 데이터를 얻기 위해 많은 시도를 했다”고 밝혔다.
 
그들은 Turla 그룹 멀웨어를 사용해, 러시아 소속 여부가 의심된다. 데이터는 C&C에 사용되었던 80 포트를 통해 유출되었다. MELANI에 따르면 이들은 C&C 서버 또한 조심스럽게 선택한 것으로 보인다.
 
이번 스위스 방위산업체 해킹사고 분석 보고서(영문)는 데일리시큐 자료실에서 다운로드 가능하다.
 
 ★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 HSK 외신 기자>