러시아vs우크라 “사이버전쟁 격돌”
우크라 IT군단 결성 러시아 금융 정보와 금융 서비스 사업자를 표적으로 하는 DoS 공격
러시아 우크라이나 침공이 몇 주간 계속되는 가운데, IT분석가들은 이 분쟁의 가상 전장에서 클라우드 네이티브 기술이 어떤 역할을 하고 있는지를 탐구하고 있다.
러시아가 2월 우크라이나에 침공한 것을 계기로 온라인에서의 움직임이 활발해지고 있다. 우크라이나는 이미 웹사이트의 변조, 분산형 서비스 거부 공격(DDoS)에 의한 장애, 파괴적인 와이퍼형 악성코드 등 여러 공격을 받고 있었다. 본 기사는 해외 'Red Ventures'에서 발행한 기사를 참조하여 이번 전쟁에서의 사이버 공격과 해커집단의 영향을 알아본다.
◇우크라 IT군단 결성
하쿠티비스트 집단의 Anonymous는 러시아에 대한 공격 등의 행동을 일으키고 있다. 우크라이나 정부는 사이버 보안 기술을 보유한 뜻에 중요한 인프라 보호를 돕도록 요청했다. 3월에 들어서 우크라이나 정부 관계 당국은 'IT군'이라고 부르는 그룹을 결성하기 시작했다. 네트워크 방어 외에 러시아의 위협 액터에 반격하기 위해서다.
아쿠아 시큐리티(Aqua Security)의 노틸러스팀(Team Nautilus)이 실시한 조사에 따르면 클라우드 기술은 이 분쟁의 디지털 세계에서 역할을 담당하게 되었다. 팀은 발생한 사이버 공격을 개관하기 위해 최근 이벤트를 추적했다.
러시아와 우크라이나 모두를 대상으로 하는 코드와 도구가 있는 공용 저장소에서 데이터를 수집하고, 그 안에 "Docker Hub"의 컨테이너 이미지 외에 "PyPI" "npm" "Ruby" 등의 소프트웨어 패키지나 코드라이브 래리를 분석하였다. 양국이 사이버 공격에서의 사용을 호소하고 있는 특정의 명칭이나 툴을 검색했다.
IT관계자에 따르면 이러한 공공 리포지토리의 약 40%가 "서비스 거부(DoS) 활동과 관련되어 있어 온라인 서비스의 네트워크 트래픽을 혼란에 빠지려고 했다"고 한다. 특히 팀이 주목한 것은 abagayev/stop-russia:latest와 erikmnkl/stoppropaganda: latest'라는 2개의 컨테이너 이미지다. 모두 공격을 시작하는 수단 등을 설명하는 가이드라인이 포함된 DDoS 툴이다.
전문 지식이 없는 유저가 클라우드 네이티브의 툴을 널리 입수할 수 있게 되어 있어, 웹사이트의 장해를 일으킬 가능성을 확대시키고 있다.
이러한 컨테이너 이미지에는 러시아 금융 정보와 금융 서비스 사업자를 표적으로 하는 DoS 공격 툴이 포함되어 있다. "두 컨테이너 이미지에는 UDP 프로토콜을 사용하여 DNS 범람 을 유발하고 포트 53의 UDP에 대량의 DNS 요청을 보내는 공격 도구도 포함되어 있었다. 러시아 은행을 목표로 한 것이었다"고 팀은 설명했다. Team Nautilus가 러시아와 우크라이나와 관련된 IP 주소의 데이터를 수집하기 위해 설치한 허니팟에서 DDoS의 표적인 IP 주소의 84%가 러시아에, 16%가 우크라이나와 관련 것을 알았다.
전반적으로 네트워크와 미디어 조직이 가장 자주 공격받았다. "기술의 진보와 함께 경험이 풍부한 공격자가 단순한 자동화 툴을 만들고 배포할 수 있게 되었고, 스킬이 낮은 사람도 사이버 전쟁에 참가할 수 있게 되었다"고 IT관계자들은 말했다.
"개인 및 조직된 해킹 그룹이 지식과 ??자원을 사용하여 분쟁에 영향을 미치는 것이 가능하다. 보이는 ' Google의 위협분석그룹(Threat Analysis Group/TAG)은 지금까지 회사의 플랫폼으로 벨로루시 , 몰도바, 우크라이나와 관련된 '조직된 영향 공작'을 금지한 것을 밝혔다.
또한 침공에 의해 침해의 위험이 높아지고 있다고 생각되는 우크라이나의 사용자에 대한 계정 보호를 강화했다. 우크라이나의 컴퓨터 비상사태 대책팀(CERT-UA)도 지금까지 벨로루시가 관여할 것으로 보이는 위협 그룹 Ghostwriter가 반북대서양조약기구(NATO) 정보를 적극적으로 에 확산하고 있으며, 다수의 피싱 캠페인에 관여하고 있다고 경고했다.
CERT-UA는 현지 시간 3월 11일에 Discord 서버에 호스팅된 악의적인 드로퍼를 UAC-0056이 조직에 보내고 있다고 발표했다. Palo Alto Networks에 따르면 피해를 입은 조직 중 하나는 우크라이나의 에너지 기업이다.