미국 사이버사령부에 따르면, 러시아가 우크라이나를 상대로 기존에 알려지지 않은 새로운 해킹 기술을 사용한 사실이 7월 20일(미국 현지 시간) 확인됐다.
이에 관련해 보안 기업 맨디언트는 우크라이나를 겨냥하고 있는 러시아 해커 조직에 대한 종합적 개요와 분석을 제공하는 새로운 조사 보고서를 공개했다.
맨디언트 위협 인텔리전스 조사 보고서에 따르면, 러시아군이 우크라이나 마을을 포격하는 동안, 러시아 해커로 의심되는 이들이 우크라이나 공공 기관과 민간 조직에 '일제 사격 시스템 포격, 어떻게 해야 하는가, 대피 계획' 등의 긴급함이 느껴지는 제목의 악성 첨부 파일을 이메일로 보낸 사실이 확인됐다. 맨디언트가 발표한 보고서의 주요 내용은 다음과 같다.
먼저, 러시아 해커들은 최소 2022년 2월 말부터 3월까지 활동한 것으로 나타났다. 러시아 해커들의 공격 배후에는 UNC1151, UNC2589라는 해커 조직이 있었다. 두 조직의 공격은 표면적으로는 비슷하지만 직접적인 연관은 없는 것으로 파악됐다.
UNC1151는 벨라루스의 후원을 받고 있는 것으로 예상되며, 러시아의 우크라이나 침공 이후 매우 적극적으로 우크라이나를 공격하고 있다.
이들은 비컨(BEACON) 백도어 페이로드와 스크린샷 기능이 포함된 마이크로 백도어(MICROBACKDOOR)의 수정 버전을 사용했다. 또한 해킹한 우크라이나 개인 계정을 도용해 피싱 메일을 전송했다. 아울러 고스트라이터(Ghostwriter)라는 이름의 정보작전(IO)을 지원하기 위해 침투로 얻은 접근 권한 및 정보도 사용한 것으로 파악됐다.
UNC2589는 러시아 정부의 이익을 위해 활동 중인 조직으로 2022년 1월 14일, 위스퍼게이트(WHISperGATE)라고도 불리는 페이와이프(PAYWIPE) 멀웨어를 사용해 우크라이나 정부 기관을 겨냥했다. 이들은 광범위한 사이버 공격과 스파이 활동을 지속하고 있다.
2022년 3월 27일, UNC2589로 의심되는 캠페인이 그림플랜트(GRIMPLANT)와 그래프스틸(GraphSTEEL) 멀웨어를 우크라이나 기관에 유포하기도 했다.
현재 전쟁이 끝나지 않은 상황에서 우크라이나를 향한 러시아의 사이버 공격은 지금도 계속되고 있다.
한편, 이번 맨디언트 위협 인텔리전스 조사 보고서의 전문은 맨디언트 영문 블로그에서 확인이 가능하다.
