|
러시아 공격자들이 SolarWinds 해킹공격 배후일 가능성 있다고 말한다 침해사고분석팀 2021.01.06 |
|
|
사이버 통합 조정 그룹(UCG, Unified Coordination Group)은 러시아의 지원을 받는 APT 그룹이 SolarWinds 해킹의 배후일 가능성이 높다고 말했다.
현재 진행 중인 스파이 활동을 둘러싼 정부의 대응 노력을 더 잘 조정하도록 돕기 위해 SolarWinds 공급망 공격 이후 국가 안전 보장 회의(NSC)는 UCG를 설립했다.
UCG는 "러시아 출신으로 추정되는 APT 공격자는 최근 발견된 정부 및 비정부 네트워크의 사이버 침해 대부분 또는 전부를 책임지고 있다"고 말했다.
"우리는 이것이 정보 수집의 노력이었다고 믿고 있으며, 앞으로도 그럴 것이다. 이 캠페인의 모든 범위를 파악하고 그에 따라 대응하기 위해 필요한 모든 조치를 취하고 있다"
UCG는 또 FBI와 CISA, ODNI 및 NSA가 발표한 공동 성명에서 최초 해킹 이후 추가 해킹 대상이 된 미국 정부 기관은 10개에 불과하다고 덧붙였다.
"UCG는 Solar Winds의 Orion 제품에 영향을 받은 약 18,000명의 공공 및 민간 부문 고객 중 훨씬 더 적은 수의 고객이 시스템에 대한 후속 활동으로 인해 피해를 입었다고 믿는다. 우리는 지금까지 이 범주에 속하는 10개 미만의 미국 정부 기관을 파악했으며, 영향을 받을 수 있는 비정부 기관을 파악하고 이를 알리기 위해 노력하고 있다."
FireEye는 이번 작전을 지휘하는 공격자들을 UNC2452와 Dark Haloby Volexity로 추적하고 있으며 확인되지 않은 언론 보도에 따르면 APT29로 추정하고 있다.
러시아는 SolarWinds 공격자와의 연관성을 부인하면서 "사이버 도메인에서 공격 작전을 수행하지 않는다"고 말했다.
[그림1. UCG 성명]
UCG는 "이것은 문제를 해결하기 위해 지속적이고 헌신적인 노력을 필요로 하는 심각한 절충안"이라고 덧붙였다.
여러 미국 연방 네트워크의 타협은 2020년 12월 17일 FBI, DHS-CISA 및 ODNI가 발표한 공동 성명에서 처음 확인되었다.
또한, CISA는 러시아 정부가 후원하는 공격자가 연방 민간 기관에 향후 공격을 차단하기 위해 영향을 받는 SolarWinds 제품을 차단하거나 전원을 끄도록 요청했다.
이 공격에 위반된 미국 기관 목록에는 미국 재무부, 미국 국무부, 미국 NIA, 미국 NIH, DHS-CISA, 에너지부, 미국 원자력 안전국, 미국 국토안보부가 포함된다.
출처 https://www.bleepingcomputer.com/news/security/us-govt-says-russian-state-hackers-likely-behind-solarwinds-hack/ |
