설명: 새로운 도구 세트를 사용한 미국의 대규모 사이버 공격

미국 정부 기관과 민간 기업을 대상으로 한 가장 큰 사이버 공격 중 하나인 'SolarWinds 해킹'은 전 세계적인 노력으로 여겨집니다. 어떻게 수행되었으며 어떤 종류의 데이터가 손상되었습니까? 왜 미국 정부 관료와 정치인들은 러시아라는 이름을 붙였습니까?

사이버 공격의 대상은 SolarWinds에서 제공한 소프트웨어 Orion이었습니다. (로이터 사진)

최근 미국에서 발견된 사이버 공격 'SolarWinds hack'이 그 중 하나로 떠올랐다. 사상 최대 미국 정부, 그 기관 및 기타 여러 민간 기업을 대상으로 합니다. 사실, 이는 글로벌 사이버 공격일 가능성이 있습니다.

미국 사이버 보안 회사인 FireEye에서 처음 발견했으며 그 이후로 매일 더 많은 개발이 계속해서 밝혀지고 있습니다. 사이버 공격의 규모는 알려지지 않았지만 미 재무부, 국토안보부, 상무부, 국방부의 일부가 모두 영향을 받은 것으로 여겨집니다.

에서 의견 조각 위해 작성 뉴욕 타임즈 도널드 트럼프 대통령의 국토안보보좌관을 지낸 토마스 보서트(Thomas P Bossert)는 이번 공격을 러시아로 지목했다. 그는 SolarWinds 공격 포인트에서 SVR로 알려진 러시아 정보 기관에 대한 증거를 썼습니다. SVR의 무역 기술은 세계에서 가장 진보된 것 중 하나입니다. 크렘린궁은 개입을 부인했다.

그렇다면 이 'SolarWinds 해킹'은 무엇일까요?

사이버 공격에 대한 뉴스는 FireEye가 시스템에 대한 공격을 탐지하는 블로그를 게시한 12월 8일에 기술적으로 처음 알려졌습니다. 이 회사는 여러 대기업 및 연방 정부 기관의 보안 관리를 돕습니다.

FireEye의 CEO인 Kevin Mandia는 블로그 포스트에서 회사가 러시아를 언급하지 않았지만 국가 후원 공격이라고 하는 매우 정교한 위협 행위자의 공격을 받았다고 말했습니다. 공격 능력이 최고 수준인 국가가 공격을 수행했으며 공격자는 주로 특정 정부 고객과 관련된 정보를 노렸다. 또한 공격자들이 사용한 방법이 참신하다고 말했습니다.

그런 다음 12월 13일 FireEye는 캠페인 UNC2452라는 사이버 공격이 회사에만 국한된 것이 아니라 전 세계의 다양한 공공 및 민간 조직을 대상으로 했다고 밝혔습니다. 이 캠페인은 2020년 3월에 시작되어 몇 달 동안 계속되고 있다고 포스트는 전했다. 설상가상으로, 공격 규모가 여전히 발견되고 있기 때문에 도난당하거나 손상된 데이터의 범위가 아직 알려지지 않았습니다. 시스템이 손상된 후 측면 이동 및 데이터 도난이 발생했습니다.

많은 미국 정부 기관과 기업이 어떻게 공격을 받았습니까?

이를 '공급망' 공격이라고 합니다. 해커는 연방 정부나 민간 조직의 네트워크를 직접 공격하는 대신 소프트웨어를 공급하는 타사 공급업체를 대상으로 합니다. 이 경우 대상은 텍사스에 본사를 둔 SolarWinds에서 제공하는 Orion이라는 IT 관리 소프트웨어였습니다.

Orion은 33,000개 이상의 회사를 포함하는 고객과 함께 SolarWinds의 지배적인 소프트웨어였습니다. SolarWinds는 18,000명의 고객이 영향을 받았다고 말합니다. 덧붙여서 회사는 공식 웹 사이트에서 고객 목록을 삭제했습니다.

Google의 웹 아카이브에서도 삭제된 페이지에 따르면 이 목록에는 미국의 상위 10대 통신 사업자인 Fortune 500대 기업의 425개 회사가 포함되어 있습니다. 뉴욕 타임즈의 보도에 따르면 국방부, 질병통제예방센터, 국무부, 법무부 등이 모두 피해를 입었다고 합니다.

Microsoft는 프로덕션 서비스 또는 고객 데이터에 대한 액세스 증거가 없거나 시스템이 다른 사람을 공격하는 데 사용되었다는 증거는 없지만 시스템에서 맬웨어의 증거를 발견했다고 확인했습니다. 마이크로소프트 사장인 브래드 스미스(Brad Smith)는 마이크로소프트가 40개 이상의 고객에게 공격자가 보다 정확하게 표적으로 삼고 손상되었다는 사실을 알리기 시작했다고 말했다.

로이터통신의 보도에 따르면 국토안보부 관리들이 보낸 이메일도 해커들이 감시하고 있다고 합니다.

어떻게 액세스 권한을 얻었습니까?

FireEye에 따르면 해커는 SolarWinds의 Orion IT 모니터링 및 관리 소프트웨어에 대한 트로이 목마 업데이트를 통해 피해자에 대한 액세스 권한을 얻었습니다. 기본적으로 소프트웨어 업데이트를 악용하여 'Sunburst' 악성코드를 Orion에 설치한 후 17,000명 이상의 고객이 설치했습니다.

FireEye는 공격자가 탐지되지 않고 활동을 은폐하기 위해 여러 기술에 의존했다고 말합니다. 멀웨어는 시스템 파일에 액세스할 수 있었습니다. FireEye에 따르면 멀웨어에 유리하게 작용한 것은 합법적인 SolarWind 활동과 혼합될 수 있다는 것이었습니다.

일단 설치되면 이 멀웨어는 해커가 SolarWinds 고객의 시스템과 네트워크에 백도어 진입을 허용했습니다. 더 중요한 것은 이 맬웨어가 이를 탐지할 수 있는 안티바이러스와 같은 도구도 차단할 수 있다는 것입니다.

러시아는 어디에서 오는가?

그의 NYT 오피니언 기사에서 Bossert는 그러한 독창성과 규모의 공격을 실행할 수 있는 능력을 갖춘 러시아와 그 기관을 SVR이라고 명명했습니다.

Microsoft는 블로그에서 이러한 공격 측면이 거의 전 세계적으로 중요한 공급망 취약성을 만들어 러시아 이외의 많은 주요 국가 수도에 도달했다고 밝혔습니다. 러시아의 정교한 공격이 일반화되고 있다고 덧붙였습니다.

그러나 FireEye는 아직 러시아를 책임자로 지정하지 않았으며 FBI, Microsoft 및 이름이 지정되지 않은 기타 주요 파트너와 함께 진행 중인 조사라고 밝혔습니다.

SolarWinds와 미국 정부는 해킹에 대해 어떻게 말했습니까?

현재 SolarWinds는 모든 고객에게 이 맬웨어에 대한 패치가 있는 기존 Orion 플랫폼을 즉시 업데이트할 것을 권장합니다. 공격자 활동이 환경에서 발견되면 포괄적인 조사를 수행하고 조사 결과와 영향을 받는 환경의 세부 정보를 기반으로 하는 치료 전략을 설계 및 실행할 것을 권장합니다.

업데이트할 수 없는 사용자는 SolarWinds 서버를 격리하라는 지시를 받았으며 여기에는 SolarWinds 서버의 모든 인터넷 이그레스 차단이 포함되어야 합니다. 최소한의 제안은 SolarWinds 서버/인프라에 액세스할 수 있는 계정의 암호를 변경하는 것입니다.

미국 사이버 보안 및 기반 시설 보안국(CISA)은 모든 연방 민간 기관에 네트워크 손상 지표를 검토할 것을 요청하는 긴급 지침 21-01을 발표했습니다. SolarWinds Orion 제품을 즉시 분리하거나 전원을 끌 것을 요청했습니다.

FBI와 CISA, 국가정보국장실은 공동 성명을 내고 위기에 대한 정부의 대응을 조율하기 위해 이른바 '사이버 통합 조정 그룹(UCG)'을 발표했다. 성명서는 이것을 중요하고 지속적인 사이버 보안 캠페인이라고 부릅니다.

백악관과 도널드 트럼프 대통령은 침묵했다. Mitt Romney 상원의원은 SiriusXM 라디오의 저널리스트인 Olivier Knox에게 이 공격을 미국의 사이버 전쟁 약점을 폭로하는 러시아 폭격기가 탐지되지 않고 전국을 날아다니는 것과 비교한 논평에서 가장 잘 요약했습니다. 그는 백악관의 침묵과 행동이 변명의 여지가 없다고 말했다.

민주당원 리처드 블루멘탈 상원의원은 트위터에 “러시아의 사이버 공격은 나에게 깊은 경각심을 불러일으켰다.

조 바이든 대통령 당선인은 성명에서 다음과 같이 말했습니다. 우리는 우선 적들이 중대한 사이버 공격을 가하는 것을 방해하고 저지해야 합니다.

친구들과 공유하십시오: