휴렛팩커드엔터프라이즈(HPE)가 러시아와 연계된 APT 그룹인 미드나잇 블리자드(Midnight Blizzard)의 사이버 공격을 받은 것으로 확인됐다. HPE는 미드나잇 블리자드가 자사의 마이크로소프트 오피스 365 클라우드 기반 이메일 환경에 액세스했다고 밝혔다. 공격자들은 회사의 사이버 보안 부서 및 기타 기능에 대한 정보를 수집했다.
미드나잇 블리자드 그룹(다른 이름: APT29, SVR그룹, 코지 베어, 노벨리움, 블루브라보, 더 듀크스)은 APT28 사이버 스파이 그룹과 함께 2016년 미국 대통령 선거를 겨냥한 민주당 전국위원회 해킹과 일련의 공격에 연루된 그룹이다. 이 그룹은 2020년에 마이크로소프트를 비롯한 1만 8천 개 이상의 고객 조직을 공격한 SolarWinds 공급망 공격으로 잘 알려져 있다.
HPE는 2023년 12월에 침입을 인지하고 즉시 외부 사이버 보안 전문가의 도움을 받아 보안 침해에 대한 조사를 시작했다. 조사 결과 공격자는 2023년 5월부터 회사 환경에 액세스하여 데이터를 유출한 것으로 밝혀졌다. 사이버 스파이들은 사이버 보안, 시장 진출, 비즈니스 부문 및 기타 부서의 개인이 소유한 HPE 메일함 중 일부에 침입했다.
조사는 아직 진행 중이지만 HPE는 이 침입이 2023년 6월에 통보를 받은 동일한 APT 그룹이 수행한 또 다른 공격과 관련이 있을 가능성이 높다고 판단했다. 2023년 5월 초, HPE는 제한된 수의 SharePoint 파일에 대한 무단 액세스 및 유출을 발견했다. HPE는 법 집행 기관 및 규제 당국에 이 사실을 알렸으며 이 사건이 회사 운영에 큰 영향을 미치지 않았다고 강조했다.
한편, 최근 마이크로소프트는 기업 이메일 계정 중 일부가 동일한 러시아 연계 그룹인 미드나잇 블리자드에 의해 손상되었다고 경고했다. 마이크로소프트는 2024년 1월 12일에 침입을 발견하고 즉시 보안 침해에 대한 조사에 착수했으며 외부 침입을 차단하고 공격을 완화한 것으로 확인되었다.
국가가 후원하는 해커들은 2023년 11월 말, ‘비밀번호 스프레이 공격’으로 회사 시스템을 처음 손상시켰다. 비밀번호 스프레이 공격은 공격자가 애플리케이션에서 기본 비밀번호를 사용하는 사용자 이름 목록을 기반으로 무차별 암호 대입 로그인을 수행하는 무차별 암호 대입 공격의 한 유형이다.
마이크로소프트는 위협 행위자가 기존 비프로덕션 테스트 테넌트 계정에 액세스하고 이 계정의 권한을 사용하여 매우 적은 비율의 내부 기업 이메일 계정에 액세스했다고 밝혔다. 공격자들은 회사의 고위 경영진과 사이버 보안, 법무 및 기타 부서 직원들의 계정에 액세스했다. 또한 공격자들이 일부 이메일과 첨부 문서를 유출한 사실도 확인했다. APT 그룹은 마이크로소프트의 이러한 대응에 대한 정보도 수집했다.
HPE와 마찬가지로 마이크로소프트도 공격자들이 자사 제품이나 서비스의 취약점을 악용하지 않았다고 지적했으며 고객 환경, 프로덕션 시스템, 소스 코드 또는 AI 시스템에 액세스했다는 증거는 없다고 덧붙였다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
