아직도 계속 진행되는 러-우 전쟁, 러시아의 사이버 공격도 현재진행형

요약 : 보안 블로그 시큐리티어페어즈에 의하면 러시아의 APT 단체인 샌드웜(Sandworm)이 올해 5월부터 9월 사이에 우크라이나 통신 업체 11개를 공격했다고 한다. 이는 우크라이나 CERT 팀이 공식적으로 발표한 내용이기도 하다. 이 때문에 통신 서비스가 마비되거나 느려지는 현상이 나타났다고 한다. 샌드웜은 표적이 되는 조직의 네트워크를 먼저 스캔하고, ffuf, dirbuster, gowitness, nmap 등의 여러 도구들을 활용하여 추가 침해 행위를 이어가는 것으로 분석됐다. 통신 인프라를 공격한 건 러시아 군의 전투를 돕기 위한 것으로 추정된다.


배경 : 샌드웜은 블랙에너지(BlackEnergy), 아이언바이킹(Iron Viking), 부두베어(Voodoo Bear) 등의 이름으로 알려진 공격 단체다. 러시아 첩보 기관인 GRU의 명령에 따라 움직이는 것으로 보인다. 2017년 낫페트야(NotPetya) 사건의 가장 강력한 용의자이기도 하다. 러시아의 침략 이후 러시아 군을 도와 삭제형 멀웨어를 공격적으로 활용해가며 우크라이나를 공격했다.

말말말 : “다중인증을 적용하지 않은 VPN 계정들이 샌드웜의 집중 공략 대상인 것으로 보입니다. VPN을 사용하고 있다면 반드시 다중인증 옵션을 활성화하는 게 좋습니다.” -우크라이나 CERT-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>