플라톤 데이터 인텔리전스.
수직 검색 및 인공 지능.

사이버 보안

샌드웜(Sandworm)은 우크라이나 내 러시아 최고의 사이버 공격 유닛입니다.

Plato에 의해 재발행
Plato에 의해 재발행

시간

조회 수 : 0

강력한 Sandworm 해커 그룹은 지난 2년 동안 우크라이나에서 러시아의 군사 목표를 지원하는 중심 역할을 해왔으며, 러시아에 대한 전략적 정치적, 경제적, 군사적 이익이 있는 다른 지역에서 사이버 위협 작전을 강화했습니다.

이것이 Google Cloud의 Mandiant 보안 그룹이 수행한 위협 행위자의 활동을 분석한 결과입니다. 그들은 Sandworm(Mandiant가 추적한 대로 APT44)이 2022년 XNUMX월 러시아의 침공 이후 우크라이나에서 발생한 거의 모든 파괴적이고 파괴적인 사이버 공격에 책임이 있다는 사실을 발견했습니다.

이 과정에서 위협 행위자는 러시아의 주요 정보국(GRU) 및 모든 러시아 국가 지원 사이버 그룹 내에서 주요 사이버 공격 유닛으로 자리매김했다고 Mandiant는 평가했습니다. Sandworm은 현재 Sandworm만큼 러시아 군과 완전히 통합된 사이버 조직은 없다고 이번 주 보고서에서 밝혔습니다. 이 보고서에서는 이 그룹의 도구, 기술 및 관행을 자세히 살펴보았습니다.

Mandiant는 “APT44 작전은 범위 면에서 전 세계적이며 러시아의 광범위한 국가 이익과 야망을 반영합니다.”라고 경고했습니다. "전쟁이 진행 중임에도 불구하고 우리는 이 그룹이 북미, 유럽, 중동, 중앙아시아 및 라틴 아메리카 전역에서 접근 및 간첩 활동을 지속하는 것을 관찰했습니다."

Sandworm의 글로벌 권한 확대를 보여주는 한 가지 징후는 올해 초 CyberArmyofRussia_Reborn이라는 해킹 조직이 미국과 프랑스에 있는 3개의 수자원 및 수력 발전 시설에 대한 일련의 공격이었습니다. Mandiant는 이 조직이 Sandworm에 의해 통제된다고 믿고 있습니다.

다른 무엇보다 능력을 보여주는 것으로 보이는 이 공격은 공격받은 미국 수자원 시설 중 한 곳에서 시스템 오작동을 일으켰습니다. 2022년 44월, Mandiant가 APTXNUMX라고 믿는 그룹은 NATO 국가에 대해 파괴적인 기능을 배포하는 드문 사례로 폴란드의 물류 제공업체를 대상으로 랜섬웨어를 배포했습니다.

글로벌 위임

Sandworm은 2022년 넘게 활동해 온 위협 행위자입니다. XNUMX년 공격과 같이 세간의 이목을 끄는 수많은 공격으로 잘 알려져 있습니다. 우크라이나 전력망 일부를 철거했습니다. 러시아 미사일 공격 직전; 그만큼 2017 NotPetya 랜섬웨어 발생, 개막식에서의 공격 평창올림픽 한국에서. 이 그룹은 전통적으로 국방, 운송, 에너지 분야를 포함한 정부 및 중요 인프라 조직을 표적으로 삼았습니다. 미국 정부와 기타 당국은 이번 작전이 러시아 GRU 내 사이버 부대의 소행이라고 주장했습니다. 2020년에는 미국 법무부가 러시아 군 장교 여러 명을 기소했습니다. 다양한 Sandworm 캠페인에서 역할을 주장했습니다.

Mandiant의 수석 분석가인 Dan Black은 “APT44는 매우 광범위한 표적 범위를 가지고 있습니다.”라고 말합니다. "산업 제어 시스템 및 기타 중요한 인프라 구성 요소를 위한 소프트웨어 또는 기타 기술을 개발하는 조직은 APT44를 위협 모델의 중심에 두어야 합니다."

Mandiant Advanced Practices 팀의 선임 분석가인 Gabby Roncone은 특히 선거 기간 동안 APT44/Sandworm의 표적 중 미디어 조직을 포함시켰습니다. Roncone은 "올해 러시아의 관심이 높은 주요 선거가 많이 치러지고 있으며 APT44가 그 선거에서 핵심 역할을 하려고 시도할 수 있습니다"라고 말합니다.

Mandiant 자체는 APT44를 러시아 군사 정보 기관의 단위로 추적해 왔습니다. "우리는 국영 연구 기관 및 민간 기업을 포함하여 운영을 가능하게 하는 복잡한 외부 생태계를 추적합니다."라고 Roncone은 덧붙입니다.

우크라이나 내에서 Sandworm의 공격은 러시아 군대의 전장 이점에 대한 정보를 수집하기 위한 간첩 활동에 점점 더 초점을 맞추고 있다고 Mandiant는 말했습니다. 많은 경우, 위협 행위자가 대상 네트워크에 대한 초기 액세스 권한을 얻기 위해 가장 선호하는 전술은 라우터, VPN 및 기타 장치를 이용하는 것이었습니다. 에지 인프라. 이는 러시아의 우크라이나 침공 이후 위협 행위자가 점점 더 많이 사용하고 있는 전술입니다. 이 그룹은 방대한 맞춤형 공격 도구 컬렉션을 축적해 왔지만 탐지를 회피하기 위해 합법적인 도구와 현지 생활 기술에 의존하는 경우가 많았습니다.

파악하기 어려운 적

“APT44는 탐지 레이더 아래로 비행하는 데 능숙합니다. 일반적으로 남용되는 오픈 소스 도구와 실제 생활 방법에 대한 탐지 기능을 구축하는 것이 중요합니다.”라고 Black은 말합니다.

Roncone은 또한 환경에 대한 초기 진입 및 재진입을 위해 취약한 엣지 인프라를 표적으로 삼는 Sandworm의 성향 때문에 조직이 네트워크 환경을 매핑 및 유지하고 가능한 경우 네트워크를 분할할 것을 옹호합니다. Roncone은 “조직은 APT44가 네트워크에 액세스한 후 간첩 활동과 파괴적인 목표 사이를 오가는 것을 추가로 주의해야 합니다.”라고 말합니다. "특히 미디어 및 미디어 조직에서 일하는 사람들에게는 개별 언론인을 위한 디지털 안전 교육이 핵심입니다."

Black과 Roncone은 APT44/Sandworm이 CyberArmyofRussia_Reborn과 같은 해킹 전선을 사용하여 캠페인에 대한 관심을 끌고 부인할 목적으로 사용한다고 인식합니다.

Black은 "우리는 APT44가 CyberArmyofRussia_Reborn 텔레그램을 반복적으로 사용하여 증거를 게시하고 방해 행위 활동에 대한 관심을 끄는 것을 보았습니다."라고 말했습니다. “우리는 이것이 배타적인 관계인지 결론적으로 판단할 수는 없지만 APT44가 페르소나가 텔레그램에 게시하는 내용을 지시하고 영향을 미칠 수 있는 능력이 있다고 판단합니다.”

Black은 APT44가 선을 넘거나 대응을 유발할 경우 직접적인 귀속을 피하기 위한 방법으로 CyberArmyofRussia_Reborn과 같은 페르소나를 사용할 수 있다고 말합니다. "그러나 두 번째 [동기]는 그들이 러시아 전쟁에 대한 가짜 대중적 지지감을 조성한다는 것입니다. 이는 일반 러시아인들이 우크라이나와의 사이버 전쟁에 참여하기 위해 스스로 모이고 있다는 잘못된 인상입니다."

spot_img

최신 인텔리전스

spot_img

저작권 @ 2024 Plato Technologies Inc.

우리와 함께 채팅

안녕하세요! 어떻게 도와 드릴까요?