러 정보당국, 스페이스X 스타링크 통해 우크라 군사장비 해킹... MS 보고서 공개

마이크로소프트(MS)가 수요일 공개한 위협 정보 보고서에 따르면, 러시아 정부의 지원을 받는 해커들이 일론 머스크가 소유한 스페이스X의 스타링크 인터넷 연결과 관련된 IP 주소를 식별해 우크라이나 군사 장비를 해킹한 것으로 나타났다.

주요 내용
러시아 연방보안국(FSB)과 연계된 것으로 알려진 '시크릿 블리자드'(Secret Blizzard)라는 해킹 그룹이 3월부터 4월 사이 스타링크 IP 주소 서명을 통해 우크라이나 군 부대를 식별한 후 특정 대상 장치에 맞춤형 멀웨어를 배포했다.

시크릿 블리자드는 첨단 연구와 정치적으로 민감한 정보를 주로 노리며, 다수의 백도어와 같은 광범위한 자원을 활용해 정보 수집을 위한 시스템에 대한 장기적인 접근을 확보하는 것을 목표로 한다.

MS 보고서는 "위협 행위자가 관심 대상 장치, 예를 들어 스타링크 IP 주소에서 나오는 장치에 선별적으로 도구를 배포했다"며 "이는 우크라이나 전선의 군사 장비에서 흔히 볼 수 있는 특징"이라고 밝혔다.

MS 연구진은 시크릿 블리자드가 초기 접근을 위해 '아마데이 봇'(Amadey bot)이라는 멀웨어를 사용한 뒤, 장기 감시 능력을 유지하기 위해 '타브디그'(Tavdig)와 '카주아르V2'(KazuarV2)라는 정교한 백도어를 배포한 것을 확인했다.

시장 영향
미국 사이버보안 및 기반시설 보안국(CISA)은 이전에 시크릿 블리자드를 러시아 FSB의 센터 16과 연관 지은 바 있다. 이 그룹은 주로 전 세계의 외교부, 대사관, 정부 기관 및 국방 관련 조직을 표적으로 삼는다.

MS는 영향을 받은 고객들에게 직접 통지하고 이러한 공격에 대비해 네트워크 방어를 강화하기 위한 권장사항을 제공했다고 밝혔다.

또한 MS는 기존 접근 지점을 해킹하는 이러한 방식이 우려되지만, 적절히 구성된 보안 조치로 이러한 위협을 효과적으로 탐지하고 차단할 수 있다고 강조했다.