미국 CISA (Cybersecurity and Infrastructure Security Agency)은 최근 미국 정부 기관을 대상으로 한 침해 캠페인의 배후인 APT 그룹이 두 개 이상의 초기 액세스 벡터를 사용했다고 밝혔다.
"CISA는 SolarWinds Orion 플랫폼 외에 추가적인 초기 액세스 벡터의 증거를 가지고 있지만, 이러한 벡터는 여전히 조사 중입니다. CISA는 새로운 정보가 제공되면 이 경보를 업데이트할 것입니다." 라고 말했다.
Hard to remove from compromised networks
CISA에 따르면 러시아가 후원하는 APT29(일명 Cozy Bear 및 The Dukes)로 의심되는 APT 그룹은 오랫동안 손상된 조직의 네트워크에 존재했다.
또한 이 조직화된 해킹 캠페인의 배후에는 아직 밝혀지지 않은 다른 전술과 기법, 절차(TTP)가 사용됐을 가능성이 높다고 밝혔다.
그리고 SolarWinds Orion을 이용하지 않거나 SolarWinds Orion이 존재하지만 SolarWinds 착취 활동이 관찰되지 않은 곳 등 TTP가 현재 진행 중인 악의적인 활동과 일치하는 것으로 판명된 사건들을 조사 중이다.
"CISA는 이 위협이 연방정부, 주, 지방, 부족 및 영토 정부뿐만 아니라 중요한 인프라 단체와 기타 민간 부문 조직에 심각한 위험을 초래한다고 판단했다"고 미국 위험 고문이 덧붙였다.
이 캠페인에 사용된 초기 감염 벡터, 전술, 기법 및 절차(TTP), 경감 대책 및 절충 지표에 대한 정보를 포함한 추가 기술 세부사항은 CISA의 AA20-352A 경보에서 이용할 수 있다.
US govt hacks officially confirmed
SolarWinds 침해 이후 여러 미국 연방 통신망의 타협이 오늘 FBI, CISA, ODNI가 발표한 공동성명에서 처음으로 공식 확인되었다.
"이것은 발전하고 있는 상황이며, 우리는 이 캠페인의 전체 범위를 이해하기 위해 계속 노력하고 있지만, 이 타협이 연방 정부 내의 네트워크에 영향을 미쳤다는 것을 알고 있다"고 미국 정보 기관들은 말했다.
Microsoft, FireEye 및 GoDaddy는 SolarWinds 백도어용 킬 스위치를 만들어 악성 프로그램이 손상된 네트워크에서 삭제되도록 했다.
Microsoft의 Solarigate와 FireEye의 Sunburst로 추적된 백도어는 SolarWinds의 자동 업데이트 메커니즘을 통해 약 18,000명의 고객에게 배포되었다.
이 캠페인에서 지금까지 손상된 미국 정부 목표 목록에는 미국 재무부, 미국 국무부, 미국 NIH, DHS-CISA 및 미국 국토안보부가 포함된다고 한다.
출처
https://www.bleepingcomputer.com/news/security/cisa-hackers-breached-us-govt-using-more-than-solarwinds-backdoor/
