최근 美, 英의 사이버 보안 기관은 러시아와 연계된 APT28 조직이 실시한 일련의 대규모 무차별 공격에 대한 공동 경보를 발표했다.

이번 경보는 美 국가안보국(NSA), 美 사이버 보안 및 인프라 보안국(CISA), 美 연방수사국(FBI)와 英 국가 사이버 안전센터(NCSC)에 의해 발표된 것으로, 경보는 지난 2019년 중반부터 2021년 초에 일어난 러시아 연계 위협 행위자의 Kubernetes 클러스터를 사용하여 정부 싱크탱크, 방위업체, 에너지 기업을 포함한 전세계 수백 개의 정부 조직 및 기업에 대한 무단 접근을 실시한 것을 발표한 것이다.

공격자는 CactusVPN, IPVanish, NordVPN, ProtonVPN, Surfshark 및 WorldVPN을 포함한 상용 VPN 서비스 및 토르(TPR) 브라우저를 통해 무차별 공격을 실시했다. 이번 경보는 VPN과 토르를 이용하지 않은 인증 시도도 이루어진 것으로 보인다고 밝혔다.

한 편, 이번 경보는 공격의 배후로 러시아 총참모본부(GRU) 소속 제 85 특수임무부대(GTsSS) 산하 제26165부대를 지목했다. 제83 특별임무부대는 정부와 민간 부문 공격 대상 네트워크를 공격하기 위해 무차별 접근을 진행하여 수백 개의 미 및 해외 정부 기구를 표적으로 삼았다는 내용을 상세히 분석하며 GTsSS와 관련된 TTPs 정보를 제공하기도 했다.

공격 조직은 주로 마이크로소프트 오피스365 클라우드 서비스를 사용하는 조직을 대상으로 삼았는데, 전문가들은 이러한 활동이 아직도 진행중이라고 추측하소 있다. 이 밖에도 GTsSS는 마이크로소프트 익스체인지 관련 취약점 CVE-2020-0688 및 CVE-2020-17144 등을 사용하여 대상 네트워크에 대한 추가 접근을 실시한 것으로 알려졌다.

[출처 : SecurityAffairs / 7.1.]