MS, 러시아 공격자들이 각종 공격 일삼던 악성 도메인 발견해 폐쇄

요약 : 보안 외신 쓰레트포스트가 MS가 사법 기관들과 함께 7개 도메인을 장악하고 폐쇄시켰다고 보도했다. 러시아의 APT 단체들이 공격에 활용하던 악성 도메인들이라고 한다. 연루된 공격자들은 스트론튬(Strontium)이라고 한다. 이들은 악성 도메인을 사용해 우크라이나의 매체들과 미국 및 서방 국가의 정부 기관, 외교 기관과 싱크탱크들을 공격해왔다고 한다. 주로 싱크홀 공격에 활용되던 도메인이라고 MS 측은 설명했다. 싱크홀 공격이란 피해자의 인터넷 트래픽을 공격자가 모니터링 할 수 있는 경로로 우회시키는 것을 말한다.


배경 : 스트론튬은 APT28, 소파시(Sofacy), 팬시베어(Fancy Bear), 세드닛(Sednit) 등으로 불리는 해킹 단체로, 러시아 정부의 지원을 받고 있는 것으로 알려져 있다. 이들은 악성 도메인을 통해 피해자 네트워크와 트래픽을 주기적으로 모니터링할 수 있었다고 한다. 이번 캠페인은 최소 2009년부터 진행되어 온 것으로 분석되고 있다.

말말말 : “MS는 2016년부터 공격자들의 공격 비용을 높이기 위해 사법 기관과 손을 잡고 공격 인프라를 무력화시키고 있습니다. 이번의 성과도 그러한 사업의 일환이라고 볼 수 있습니다.” -MS-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>