허위 정보와 선거 해킹 캠페인의 배후이자 2016년 우크라이나 정전 사태를 주도한 Sandworm 그룹은 이제 이메일 서버를 표적으로 삼고 있습니다.
취약한 이메일 서버에 대한 러시아 군 정보국의 공격을 경고하는 미국 국가안보국(NSA)의 드문 권고도 국가 사이버 간첩 단체가 관심 대상을 공격하는 것을 단념시킬 가능성은 없다고 사이버 보안 전문가들은 말합니다.
목요일에, NSA는 조직에 말했다 일부 Linux 버전에 기본적으로 설치되는 EXIM 메일 전송 에이전트의 원격으로 악용 가능한 취약점은 "현장 게시물 번호 74455의 GRU 특수 기술 센터(GTsST)의 러시아 사이버 공격자"의 표적이 되고 있습니다. 샌드웜 그룹으로 알려져 있습니다. 샌드웜(Sandworm) 그룹은 러시아 군사 정보 기관을 위한 두 개의 주요 사이버 작전 그룹 중 하나입니다.
그러나 Recorded Future의 위협 인텔리전스 연구원인 Greg Lesnewich는 표적 조직이 시스템을 보호하기 위해 적절한 조치를 취하도록 설득하는 것 외에도 이 권고는 공격을 약화시키지 못할 가능성이 높다고 말합니다.
"우리는 개별 운영자와 부서에 이름을 붙이고 수치심을 주려고 시도했습니다. 분명히 제재도 시도되었습니다."라고 그는 말합니다. "내 생각에 러시아 정보 기관은 위험에 대한 내성이 높고 자신이 하는 일에 대해 꽤 대담하다고 생각합니다. 따라서 이러한 활동을 저지하기 위해 우리가 잠재적으로 무엇을 할 수 있는지 완전히 확신할 수 없습니다."
경고 최근 미국 선거 주기에 좋은 징조는 아닙니다. 이미 정치가 양극화되어 있고 정당과 외국 경쟁자들이 허위 정보를 정기적으로 사용하고 있는 상황에서 러시아 정보 기관이 일부 정부 기관과 기업의 이메일 서버에 접근할 가능성이 있다는 사실이 밝혀지면 문제가 발생할 수 있습니다.
또한 미국 정보 기관이 깃발을 들고 있다는 사실은 해당 정보에 신빙성을 부여하고 조치를 촉발할 수 있다고 Lesnewich는 말했습니다.
"주로 미국, 잠재적으로 일부 영국, 호주, 캐나다 기업과 기관이 이러한 서버를 패치하여 사고 발생을 방지하도록 돕는 것입니다."라고 그는 말합니다. “또한 활동과 관련된 GRU 부대의 이름을 지정함으로써 대중을 돕기 위해 자원과 경고를 제공하고 있습니다. 우리는 선거가 있는 해에 이 GRU 활동이 미국과 해외 모두의 선거 개입에 연루되어 있습니다.”
공격 기록
최소 15년 동안 Iridium, Electrum으로도 알려진 Sandworm 그룹은 BlackEnergy 및 부두 곰 — 다양한 정치적 목표를 타협하고, 허위 정보를 뿌리고, 러시아의 경쟁자와 이익에 대한 정보를 수집했습니다. 우크라이나에서 두 차례 정전을 일으켰고 올림픽 디스트로이어(Olympic Destroyer) 공격으로 2018년 동계 올림픽을 목표로 삼았습니다. 또한 이 그룹은 다른 애플리케이션과 유사한 복제 애플리케이션을 만들어 한국과 우크라이나 대상을 표적으로 삼기 위해 Android 악성코드를 배포하는 데 집중하기 시작했습니다. 한 사례에서는 개발자 계정을 손상시켰습니다. Google의 위협 분석 그룹에 따르면.
글로벌 컨설팅 회사인 부즈 앨런 해밀턴(Booz Allen Hamilton)은 이번 공격의 배후에 있는 러시아 정부 기관인 국군 참모본부(GRU)가 인터넷에서 가장 잘 알려진 국가 행위자 중 하나라고 밝혔습니다. Sandworm 공격에 대한 심층 분석 2020년 XNUMX월에 출판되었습니다.
84페이지 분량의 분석에 따르면 "GRU는 사이버 작전을 수행하는 유일한 러시아 정부 기관은 아니지만 러시아에서 가장 철저하게 문서화되고 일관되게 공개적으로 연루된 사이버 작전 조직입니다."라고 합니다. "최근 몇 년 동안 미국과 동맹국, 파트너들은 수많은 사이버 사건, 커버 페르소나, 보안 산업 그룹 이름을 반복적으로, 명시적으로, 분명하게 GRU에 귀속시켰습니다."
EXIM 취약점(CVE-2019-10149)은 악용하기가 쉽지 않으며 메시지의 "MAIL FROM" 필드에 특별히 제작된 명령만 보내면 된다고 NSA가 최신 권고에서 경고했습니다. NSA는 "CVE-2019-10149가 성공적으로 악용되면 공격자는 자신이 선택한 코드를 실행할 수 있습니다"라고 말했습니다.
Sandworm에 연결된 도메인에서 다운로드되어 악용된 서버에서 실행되는 코드는 권한 있는 사용자를 추가하고 일부 네트워크 보안을 비활성화하며 공격자가 원격 액세스를 허용하도록 SSH 구성을 수정하고 다른 코드를 실행하여 네트워크를 추가로 손상시킨다고 NSA 권고는 밝혔습니다.
EXIM은 널리 사용되는 메일 전송 에이전트(인터넷에서 전자 메일을 섞는 서버)로 거의 5.3만 대의 컴퓨터에서 이 소프트웨어를 실행하고 있습니다. 의 데이터에 따르면 해당 서버 중 최소 30%가 취약한 EXIM 버전을 실행하고 있습니다. 인터넷 정보 서비스 Shodan.io.
공격자들은 2019년 XNUMX월부터 이 소프트웨어를 표적으로 삼기 시작했으며 Sandworm 그룹에 속한 것으로 알려진 도메인과 서버에서 스크립트를 다운로드했다고 NSA는 권고했습니다. NSA는 특정 위협 행위자를 찾아내고, 취약점에 대해 경고하고, 타협 지표를 공개하기 때문에 NSA의 경고는 "드문 삼중 행동"이라고 말합니다.
"그들이 공개하는 것은 일종의 전례 없는 일이며, 이는 이들 운영자가 미국 내부 또는 우호적인 외국 정보 기관 내부의 관심 대상을 공격했음을 시사합니다"라고 그는 말합니다. "그리고 이는 EXIM 메일 서버를 사용하는 일부 흥미로운 대상이 걱정할 만한 사례가 있음을 의미합니다."
이 경우에 특성이 유용합니다. 전자 메일 서버에 대한 액세스는 BEC(비즈니스 전자 메일 손상)로 알려진 일반적인 사이버 범죄 활동에서 중요한 단계이지만 러시아 그룹은 그러한 전술을 사용하는 것으로 알려져 있지 않습니다. 사기꾼은 수익성이 좋은 계획에 따라 손상된 전자 메일 서버를 사용하여 공급업체와 클라이언트 간에 전송되는 메시지와 송장을 가로챕니다. 공격자는 은행 계좌 정보 변경을 요청하기 위해 액세스 권한을 사용하여 지불 경로를 자신의 계좌로 변경하여 BEC를 초래했습니다. 사이버범죄 활동으로 인한 피해 규모 XNUMX위.
관련 콘텐츠 :
20 년 이상의 베테랑 기술 기자. 전 연구원. CNET News.com, Dark Reading, MIT의 기술 검토, 인기있는 과학 및 유선 뉴스를 포함하여 XNUMX 개가 넘는 간행물로 작성되었습니다. 최우수 마감일을 포함하여 저널리즘에 대한 XNUMX 개의 상 전체 자료보기
추천 자료 :
더 많은 통찰력
