MS에 따르면, 최근 러시아 정부의 지원을 받는 해킹 그룹이 IT 관리 소프트웨어의 취약점을 악용해 여러 국가의 주요 인프라에 침투하는 등 전례 없는 대규모 사이버 스파이 활동을 전개하고 있다.
MS는 12일 보고서를 통해 이 작전이 악명 높은 러시아 위협 그룹 씨쉘 블리자드(Seashell Blizzard)에 의해 수행되고 있으며, 미국, 캐나다, 영국, 호주 등 여러 국가의 에너지, 통신, 국방, 정부 기관을 주요 목표로 삼고 공격하고 있다고 밝혔다.
MS는 이러한 공격의 규모와 지속성이 전 세계 사이버 보안에 즉각적이고 심각한 위협을 초래하고 있다고 경고했다.
MS는 보고서를 통해 “2021년부터 활동해온 해당 해킹 그룹은 보안이 허술한 기업을 찾아 침입하고, 탐지를 피하면서 장기간 내부에서 활동하는 전략을 취하며 계정 정보를 수집하고, 명령 실행 권한을 확보하며, 네트워크 내 이동을 지원했다. 그 결과, 지역적으로 상당한 규모의 네트워크 침해가 발생한 사례도 있었다”라고 설명했다.
씨쉘 블리자드는 많은 보안 업체에서 다양한 이름으로 추적하고 있으며, BE2, UAC-0133, 블루 에키드나(Blue Echidna), 샌드웜(Sandworm), 팬텀(PHANTOM), 블랙에너지 라이트(BlackEnergy Lite), APT44 등의 명칭으로도 알려져 있다.
우크라이나를 넘어 확산되는 러시아 사이버전
씨쉘 블리자드 그룹 산하 조직은 ‘배드파일럿(BadPilot)’라는 이름의 공격을 2021년부터 진행해 왔으며, 처음에는 우크라이나와 유럽을 주요 공격 대상으로 삼았다. 그러나 MS에 따르면 이들의 공격 범위는 현재 북미, 중앙아시아, 중동으로까지 확장됐다.
보고서는 “지리적 공격 범위가 전 세계로 확대되면서, 씨쉘 블리자드 작전의 영향력이 동유럽을 넘어 확장되고 있다”라고 분석했다.
씨쉘 블리자드는 러시아 군사정보부 74455부대(GRU)와 연계된 해킹 그룹으로, 러시아 정부의 이익과 맞물린 사이버 첩보 및 파괴적 사이버 공격을 수행해온 전력이 있다.
배드파일럿 공격은 보안 시스템을 우회해 몰래 침입하고, 취약한 시스템을 발견하면 즉시 공격하는 방식을 활용해 정부·기업의 핵심 IT 시스템에 침투해 지속적인 통제력을 확보하는 등 씨쉘 블리자드 산하 해킹 그룹의 기술적 역량이 한층 고도화됐음을 보여준다.
글로벌 기업을 겨냥한 IT 소프트웨어 악용
2024년 초부터 씨쉘 블리자드 산하 해킹 그룹은 기업이 널리 사용하는 IT 관리 도구의 취약점을 적극적으로 악용하고 있다. 특히 커넥트와이즈 스크린커넥트(ConnectWise ScreenConnect, CVE-2024-1709)와 포티넷 포티클라이언트 EMS(Fortinet FortiClient EMS, CVE-2023-48788)의 취약점을 이용해 기업 네트워크에 탐지되지 않은 채 침입했다고 MS는 분석했다.
보고서에 따르면 “씨쉘 블리자드는 첩보 활동부터 정보 조작, 산업 제어 시스템(ICS) 파괴 공격까지 다양한 작전을 수행해 왔다. 이번 공격 캠페인에서 확인된 기회주의적 접근 방식(특정 대상을 정해두지 않고, 보안이 취약한 시스템을 발견하면 즉시 침입하는 해킹 전략)은 러시아가 특정 작전을 수행할 수 있는 더 많은 기회를 확보할 수 있도록 한다”라고 분석했다.
이 그룹은 점점 더 정교한 공격 기술을 개발하고 있으며, 탐지가 어려운 침투 방법을 사용해 전 세계 주요 조직 내부에 지속적인 접근 권한을 확보하고 있다.
MS는 씨쉘 블리자드의 대표적인 공격 사례로 킬디스크(KillDisk)와 폭스블레이드(FoxBlade) 같은 파괴적 공격, 미독(MeDoc)과 같은 공급망 공격, 그리고 낫페트야(NotPetya)와 프레스티지(Prestige) 같은 가짜 랜섬웨어 공격을 언급했다.
증가하는 사이버 공격, 기업의 보안 위협 고조
MS는 이 그룹이 2023년 이후 최소 세 차례 우크라이나를 대상으로 한 파괴적 사이버 공격을 수행했다고 분석하며, 이들의 작전이 상당한 수준의 위협을 초래한다고 강조했다. 보고서는 일부 공격이 무차별적으로 보일 수도 있지만, 궁극적으로 러시아가 미래의 군사 및 정보 작전에 필요한 사이버 접근권을 확보하는 전략적 행위라고 설명했다.
MS는 “2022년 4월 이후, 러시아와 연계된 위협 행위자들은 지정학적으로 중요한 국제 조직이나 우크라이나에 군사·정치적 지원을 제공하는 기관을 집중적으로 공격해 왔다”라고 밝혔다.
특히 무기 제조, 해운, 에너지 부문 등 국가 안보와 지정학적 안정을 위해 핵심적인 산업이 주요 공격 대상이 됐다.
이번 캠페인의 공격 범위가 점차 확대되면서, 기업과 정부 기관의 사이버 보안을 더욱 강화할 필요성이 커지고 있다.
보고서는 “씨쉘 블리자드는 컴퓨터 네트워크 침투(CNE)와 핵심 인프라(ICS 및 SCADA) 공격에 대한 전문성을 보유하고 있으며, 이들의 작전은 군사 충돌 시 적극적으로 활용되거나 지정학적 긴장이 고조되는 상황에서 변형된 형태로 사용될 가능성이 크다”라고 분석했다.
MS는 씨쉘 블리자드의 활동을 면밀히 추적하며, 영향을 받은 조직에 경고를 전달하고 있다고 밝혔다. 또한 기업이 알려진 취약점을 즉시 패치하고, 네트워크 분할을 시행하며, 제로트러스트 보안 프레임워크를 도입할 것을 촉구했다.
MS는 “보안팀은 씨쉘 블리자드의 지속적으로 진화하는 공격 기법과 관련된 침해 지표를 면밀히 모니터링하고, 로그를 철저히 검토해야 한다”라고 조언했다.
[email protected]
Read More from This Article: 우크라 넘어 북미·중동까지··· 러시아 해킹그룹, 각국 국방·통신 시설 노려
Source: News