네 마리의 곰 이야기: 러시아 정부와 연결된 APT 그룹에 대한 간략한 분석

보안매체 Cybersecurity Help는 러시아 정부와 연결된 알려진 APT 조직 분석 시리즈를 게시하기로 결정했다. “네 마리의 곰” 시리즈에서는 fancy bear(apt28), cozy bear(apt29), voodoo bear(sandworm) 및 berserk bear(energetic bear)를 소개하기로 한다.

(사이버보안업체 크라우드스트라이크는 국가와 관련된 동물을 기반으로 해킹 조직에 대해 다소 재미있는 라벨링 시스템을 사용한다. 팬더는 중국, 호랑이는 인도, 곰은 러시아이다.)

팬시베어 : APT 조직 팬시베어(=apt28, sofacy, pawn storm, sednit, tsar team 등)는 최소 2008년부터 운영된 공격 조직으로 주로 사이버 스파이 활동, 전복, 보복성 공격 등을 수행한다. 팬시베어의 활동은 voodoo bear(2015년과 2016년 우크라이나 에너지 기업에 대한 사이버 공격이 정전으로 이어짐) 만큼 파괴적이지 않지만 일반적인 은밀한 사이버 스파이 활동과는 다르다. 이 조직은 산업스파이에 관심이 없고 대신러시아의 정치적 이익을 위해 훔친 데이터를 유출하는 경향이 있다.

팬시베어는 항공우주, 국방, 정부, 의료, 싱크탱크, 연구 및 금융기관 및 미디어를 대상으로 한다. 이 조직은 데이터 도용에 집중할 뿐만 아니라 가짜 온라인 페르소나를 사용하고 핵티비스트를 사칭한다.

팬시베어는 XAgent, X-Tunnel, WinIDS, Foozer 및 DownRange를 포함한 악성코드를 제작했다. 주요 공격 루트는 피싱메일이지만 제로데이 취약점(cve-2016-7255, cve-2016-7855)을 사용하는 것으로도 알려진 조직이다. 여기에서 팬시베어가 사용하는 악성코드에 대한 침해 지표를 찾을 수 있다.

팬시베어는 2016년 6월 美 민주당 전국위원회(DNC)의 악명 높은 해킹 이후 공개되었다. 이들은 DNC의 서버에 침입하여 주요 DNC 직원의 이메일을 포함한 19,252개의 이메일을 탈취했다.

사이버 공격은 2016년 3월 10일에 시작되었다. 이들은 2008년 민주당 캠페인 직원의 이전 이메일 주소로 피싱 메일을 보냈다. 이렇나 계정 중 하나에는 최신 연락처 목록이 포함되어 바로 다음날 민주당 고위 관리의 개인 이메일 주소로 확대되었다. 도난당한 데이터는 2016년 6월과 7월에 DCLeaks와 WikiLeaks에 의해 유출되었다. 관련하여 당시 크라우드스트라이크 보고서에는 DNC에 대한 팬시베어의 작전에 대한 자세한 내용을 찾을 수 있다.

美 특별검사의 기소에 따르면 팬시 베어는 실제로 GRU 26165 부대로, GRU는 러시아 정보총국(러시아 연방국 총참모부 직속 정보기관)이다. 이 밖에 파이어아이보고서에 따르면 美 민주당 전국위원회 사이버공격은 프랑스 선거(2017) 및 평창 동계 올림픽(2018)에 대한 사이버 공격과 연결되어 있다. 이 두 사건 모두 많은 대중의 관심을 끌었다.

 

[출처 : Cybersecurityhelp / 1.17.]