현지 시간으로 10월 25일, 마이크로소프트는 공식 블로그를 통해 美 IT 관리 솔루션 업체인 솔라윈즈를 공격한 러시아 관련 스파이 조직이 여전히 공급망 공격을 시작하고 있다고 경고했다. 최근 마이크로소프트는 노벨리움(APT29, Cozy Bear)로 추적하는 이 공격자들이 지난 5월부터 최고 140개 조직을 대상으로 지속적인 공격을 수행했으며 이중 14개 시스템에 손상을 가했다고 밝혔다.

솔라윈즈 공격당시 해커들은 먼저 멀웨어를 수천 개의 조직에 보내고 솔라윈즈 시스템에 대한 접근 권한을 사용을 사용하여 약 100여개 조직의 네트워크에 침투하는 공급망 공격을 실시했다. 그리고 이와 비슷하게 실시된 이번 공격에서 마이크로소프트는 노벨리움의 목표가 클라우드 서비스, 기술 판매자 및 기술 서비스 제공업체 고객을 대신하여 맞춤화, 배포 및 관리하기 위한 것이라고 밝혔다.

또한 마이크로소프트는 노벨리움이 궁극적으로 유통업체가 고객의 IT 시스템에 직접 액세스할 수 있는 채널을 사용하여 기관의 신뢰할 수 있는 기술 파트너로 위장한다고 언급했다.

마이크로소프트는 공격과 관련하여 7월 1일부터 10월 19일까지 약 600명 이상의 고객(사)에 23,000건의 노벨리움 관련 공격을 알렸다. 물론 소수의 표적 시스템만 공격을 받았으나 마이크로소프트는 7월 1일 이전 고객에게 지난 3년 간 관찰된 모든 국가 지원 공격에 대해서도 경고했음을 밝혔다.

마이크로소프트는 최근 활동이 러시아가 기술 공급망의 다양한 지점에 장기적이고 체계적으로 접근하며 러시아 정부가 현재 또는 미래에 관심을 갖고 있는 대상을 모니터링하는 매커니즘을 구축하려는 또 다른 신호라고 언급하며 보고서를 통해 국가 배후 사이버 공격의 58%가 러시아에서 시작되었다고 밝혔다.

한 편 월요일 마이크로소프트가 발표한 내용에 따르면 소프트웨어 취약점을 악용하지 않았지만 피싱 또는 암호 스프레이와 같은 기술을 사용하여 법적 자격증명을 탈취하고 대상 시스템에 액세스할 수 있었다고 공개했다.

[출처 : 中보안매체 / 10.26.]