Home > 전체기사
러시아의 APT 단체, 미국 대선 방해하려 오피스 365 노려
  |  입력 : 2020-09-14 12:33
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
정치적 혼란 일으키려는 목적으로 공격...그 일환으로 오피스 365 계정 훔쳐
은밀한 공격을 꾸준히 이어가는 게 이번 캠페인의 목적...다중인증으로 방어해야


[보안뉴스 문가용 기자] 러시아의 APT 단체인 스트론튬(Strontium)이 최근 미국 대선을 노리는 해킹 공격의 일환으로 마이크로소프트 오피스 365의 크리덴셜을 훔쳐내기 시작했다고 마이크로소프트가 경고했다. 스트론튬은 APT28, 소파시(Sofacy), 팬시베어(Fancy Bear)라고도 알려진 단체다. 지난 4월부터 오피스 365 크리덴셜을 수집하기 시작한 것으로 보이는데, 이전까지는 스트론튬이 하지 않았던 행위다.

[이미지 = utoimage]


스트론튬은 그저 ‘하지 않았던 새로운 공격을 시도’한 것이 아니다. 지난 9월과 올해 6월 사이에 200개가 넘는 조직들을 공격해 크리덴셜을 수집했을 정도로 광범위한 공격을 펼쳤다. 심지어 지난 8월 18일과 9월 3일 사이에는 6912개의 오피스 365 계정들을 공격하기도 했다. 다행히 이 두 번째 공격에서는 성공한 사례가 없는 것으로 나타났다. 이들의 주요 공격 대상은 선거와 관련된 조직들이었다.

스트론튬은 2016년 미국 대선 때 각종 사이버 공격을 퍼부은 단체로 알려져 있다. 당시에는 스피어피싱 공격을 주로 했었다. 올해에는 브루트포스와 비밀번호 살포 공격을 주로 하고 있다고 한다. “이 두 가지 공격의 장점은 광범위한 크리덴셜 수집 작전을 보다 은밀하게, 혹은 익명성이 어느 정도 보장되는 환경에서 진행할 수 있다는 겁니다. 게다가 스트론튬은 공격을 위해 토르 네트워크를 적극 활용하기도 했습니다.” 마이크로소프트의 설명이다. “즉 이번 캠페인의 주안점은 은밀함이라는 것”이다.

마이크로소프트는 “스트론튬이 현재 사용자 이름과 비밀번호를 대입하는 방식으로 크리덴셜을 수집하고 있는데, 눈에 띄는 걸 막기 위해 적은 수를 천천히 대입하고 있다”고 설명을 이어갔다. “계정 하나당 한 시간에 약 네 번의 로그인 시도를 이어갈 정도로 천천히 공격을 하고 있습니다. 게다가 공격을 하는 IP주소도 계속 순환시킵니다. 이런 방식의 공격이라면 현존하는 방식으로는 탐지되지 않습니다.”

APT28은 러시아의 군대 조직과 연결된 첩보 기관일 가능성이 높다는 게 보안 업계의 중론이다. 올해 발견된 것만 200개가 넘는 조직을 공격했다. 정치적 목적을 가진 캠프, 특정 신념 아래 움직이는 시민 및 비영리 단체, 정당, 정치 관련 싱크탱크, 컨설턴트 등이 여기에 포함되어 있다. 지난 대선에서는 민주당 측을 집중적으로 공략했는데, 이번 공격에서는 공화당과 민주당과 관련이 있는 단체를 골고루 공격하고 있다. 하지만 곧 공격 노선이 확연히 드러날 것이라고 전문가들은 보고 있다.

MS가 발표한 피해 단체는 다음과 같다.
1) 미국 내 독일 요원 기금(German Marshall Fund of the United States)
2) 유럽국민당(European People's Party)
3) 다양한 컨설팅 그룹(공화당과 민주당 모두)

MS는 “선거와 관련이 조금이라도 있는 조직이라면 다중인증 시스템을 적용시켜야 오피스 365 계정을 보호할 수 있다”고 강조했다. 또한 “단기간 내에 반복되지 않더라도, 어느 정도 짧은 시간 사이에 여러 번 로그인에 실패하는 행위가 발견될 경우 의심하라”고 경고했다. “사실 APT28의 공격이긴 하지만 기초적인 수준에 머무르고 있어서 방어 역시 그리 어렵지 않습니다. 다만 조금 귀찮을 뿐인데, 이건 공격자들이 현재 감수하고 있는 바입니다. 공격자의 노력만큼 방어에 투자함으로써 이들의 공격을 무산시킬 수 있습니다.”

3줄 요약
1. MS, 러시아의 스트론튬이 선거 방해 위해 오피스 365 크리덴셜 수집한다고 경고.
2. 오피스 365 크리덴셜 훔치려고 사용하는 방법은 브루트포스와 비밀번호 살포.
3. 최대한 들키지 않으려고 천천히 공격 중. 다중인증과 로그인 시도 모니터링 등으로 충분히 방어 가능.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)