Microsoft 위협 인텔리전스 팟캐스트에서 전문가로부터 직접 인사이트를 얻으세요. 지금 들어보세요.
Microsoft가 3월부터 10월까지 관찰한 위협 활동에는 우크라이나 대중의 사기를 저하하기 위한 연합 작전과 사이버 첩보 활동의 비중 증가가 포함되어 있습니다. 전 세계적인 곡물 위기 속에서 러시아의 군사, 사이버, 정치적 선동 행위자는 민간 인프라 표적인 우크라이나 농업 부문에 대한 합동 공격을 감행했습니다. 러시아 GRU(군사정보국)과 연계된 사이버 위협 행위자는 우크라이나 군과 국외 공급 라인을 대상으로 사이버 첩보 작전을 펼쳤습니다. 국제사회가 전쟁 범죄를 처벌하려고 노력하는 동안 러시아 SVR(대외정보국) 및 FSB(연방보안국)과 연계된 단체는 우크라이나 내외의 전쟁 범죄 수사관을 표적으로 삼았습니다.
영향력 측면에서는 2023년 6월의 짧은 반란과 이후 Wagner Group의 소유주이자 악명 높은 Internet Research Agency인 트롤 농장의 소유주인 예브게니 프리고진의 사망으로 러시아의 영향력 역량에 대한 의문이 제기되었습니다. 올 여름 내내 Microsoft는 프리고진과 연계되지 않은 조직의 광범위한 활동을 관찰했으며, 이는 프리고진이 없는 러시아의 악의적 영향력 캠페인의 미래를 보여 주었습니다.
Microsoft 위협 인텔리전스 및 인시던트 응답 팀은 이 보고서에서 설명하고 있는 위협 활동을 완화하기 위해 영향을 받는 고객과 정부 파트너에게 정보를 제공하고 협업했습니다.
러시아군은 우크라이나에 피해를 입히기 위해 재래식 무기에 더 많이 의존하고 있지만 사이버 및 영향력 공작은 우크라이나의 지역 내 동맹국, NATO, 전 세계의 컴퓨터 네트워크와 시민 생활의 보안에 여전히 긴급한 위협이 되고 있습니다. 전 세계 고객을 선제적으로 보호하기 위해 보안 제품을 업데이트하는 것 외에도 글로벌 정보 공간의 무결성에 대한 위협에 대해 경계를 유지하도록 권장하기 위해 이 정보를 공유하고 있습니다.
러시아의 물리적, 사이버, 정치적 선동 세력이 올 여름 우크라이나의 농업 부문을 집중적으로 공격했습니다. 군사 공격으로 인해 100만 명이 넘는 사람들이 1년 동안 먹을 수 있는 양의 곡물이 파괴되었고, 친러시아 언론은 인도주의적 비용에도 불구하고 이러한 공격을 정당화하는 보도를 쏟아냈습니다.1
Microsoft 위협 인텔리전스는 6월부터 9월까지 네트워크 침투, 데이터 유출과 우크라이나 농업 산업 및 곡물 관련 운송 인프라와 관련된 조직을 대상으로 파괴적인 맬웨어가 배포되는 것까지 관찰했습니다. 6월과 7월에 Aqua Blizzard(이전의 ACTINIUM)는 작물 수확량 추적을 지원하는 회사에서 데이터를 훔쳤습니다. Seashell Blizzard(이전의 IRIDIUM)는 Microsoft가 식품/농업 부문 네트워크에 대해 WalnutWipe/SharpWipe로 탐지한 초보 수준의 파괴적인 악성 코드의 변종을 사용했습니다.2
7월에 모스크바는 전 세계적인 식량 위기를 막고 척 해에 아프가니스탄, 에티오피아, 케냐, 소말리아, 예멘 주민에게 72만 5,000톤 이상의 밀을 수송할 수 있도록 허용한 인도주의적 노력인 흑해곡물협정(Black Sea Grain Initiative)에서 탈퇴했습니다.3 모스크바의 조치 이후 친러시아 언론 매체와 Telegram 채널은 흑해곡물협정을 비난하고 모스크바의 결정을 정당화하기 위해 나섰습니다. 정치적 선동 매체에서는 곡물 통로를 마약 밀매의 전초 기지로 묘사하거나 은밀하게 무기를 전달하는 수단으로 묘사하여 거래의 인도주의적 중요성을 경시했습니다.
2023년 여러 보고서에서 GRU와 연계된 것으로 의심되는 합법적이거나 유사 핵티비스트 그룹이 적에 대한 모스크바의 불만을 증폭시키고 친러시아 사이버 세력의 수를 과장하기 위해 어떻게 활동했는지 강조했습니다.4 5 6 올 여름에는 Telegram에서 핵티비스트 가상 사용자가 우크라이나의 민간 인프라에 대한 군사 공격을 정당화하는 메시지를 유포하고 해외 우크라이나의 동맹국에 DDoS(분산형 서비스 거부) 공격을 집중하는 것도 관찰했습니다. Microsoft는 핵티비스트 그룹과 국가 행위자의 교차점을 지속적으로 모니터링하여 두 주체의 운영 속도와 해당 주체의 활동이 서로의 목표를 보완하는 방식에 대한 추가 인사이트를 제공합니다.
현재까지 Microsoft는 Seashell Blizzard와 상호 작용하는 세 그룹인 Solntsepek, InfoCentr, Cyber Army of Russia를 식별했습니다. Seashell Blizzard 공격과 동시에 핵티비스트의 사이버 역량이 일시적으로 급증한 것을 보면 Seashell Blizzard의 핵티비스트와의 관계는 통제보다는 단기적인 이용 관계일 수 있습니다. Seashell Blizzard는 주기적으로 Telegram 핵티비스트 그룹이 공개적으로 자신들의 소행이라고 주장하는 파괴적인 공격을 감행합니다. 그런 다음 핵티비스트는 DDoS 공격이나 우크라이나 개인 정보 유출과 같이 일반적으로 수행하는 복잡하지 않은 작업으로 돌아갑니다. 네트워크는 지능형 지속 위협이 활동을 촉진하는 데 사용할 수 있는 민첩한 인프라를 나타냅니다.
러시아군은 국제법에 위배될 수 있는 행동을 하고 있을 뿐만 아니라 자신들에 대한 사건을 수사하는 범죄 수사관과 검사를 표적으로 삼고 있습니다.
Microsoft 원격 분석 결과에 따르면 러시아군 및 외국 정보 기관과 연계된 행위자가 올해 봄과 여름 내내 우크라이나의 법률 및 수사 네트워크와 전쟁 범죄 수사 관련 국제 기관의 네트워크를 표적으로 삼아 침입한 것으로 나타났습니다.
해당 사이버 작전은 지난 3월 전쟁 범죄 혐의로 푸틴 러시아 대통령에 대한 체포 영장을 발부한 ICC(국제형사재판소)와 같은 기관과 모스크바 간의 긴장이 고조되는 가운데 발생했습니다.7
지난 4월에 GRU와 연계된 Seashell Blizzard는 전쟁 범죄 사건을 전문으로 다루는 법률 회사의 네트워크에 침입했습니다. FSB의 소행으로 추정되는 Aqua Blizzard는 지난 7월에 우크라이나의 주요 조사 기관의 내부 네트워크에 침입한 후 9월에는 유출된 계정을 사용하여 여러 우크라이나 통신 회사에 피싱 이메일을 보냈습니다.
SVR 행위자인 Midnight Blizzard(이전의 NOBELIUM)는 Microsoft 인시던트 응답 팀이 침입 문제를 해결하기 위해 개입하기 전인 6월과 7월에 글로벌 책임을 맡은 법률 조직의 문서를 침해하고 액세스했습니다. 이러한 활동은 전 세계의 외교, 국방, 공공 정책, IT 부문 조직을 침해하려는 행위자의 보다 공격적인 노력의 일환이었습니다.
3월 이후 영향을 받은 고객에게 발행된 Microsoft 보안 알림을 검토한 결과 주로 미국, 캐나다와 기타 유럽 국가에 있는 240개 이상의 조직에 대한 액세스를 시도했으며 다양한 수준의 성공을 거둔 것으로 나타났습니다.8
대상 조직의 약 40% 가 정부, 정부 간 또는 정책 중심 싱크탱크였습니다.
러시아 위협 행위자는 다양한 기술을 사용하여 대상 네트워크에 대한 초기 액세스 권한을 얻고 지속성을 확보했습니다. Midnight Blizzard는 암호 스프레이, 제3자로부터 획득한 자격 증명, Teams를 통한 믿을 만한 소셜 엔지니어링 캠페인, 클라우드 서비스 남용을 통해 클라우드 환경에 침투하는 키친 싱크 접근 방식을 사용했습니다.9 Aqua Blizzard는 초기 액세스 피싱 캠페인에 HTML 스머글링을 성공적으로 통합하여 바이러스 백신 서명 및 메일 보안 제어로 탐지될 가능성을 낮췄습니다.
Seashell Blizzard는 Exchange 및 Tomcat 서버와 같은 경계 서버 시스템을 악용하는 동시에 DarkCrystalRAT 백도어가 포함된 불법 복제된 Microsoft Office 소프트웨어를 활용하여 초기 액세스 권한을 얻었습니다. 백도어를 통해 행위자는 Shadowlink라고 하는 Microsoft Defender로 가장한 소프트웨어 패키지의 두 번째 단계 페이로드를 로드할 수 있었습니다. 이 소프트웨어 패키지는 디바이스에 TOR 서비스를 설치하고 TOR 네트워크를 통해 위협 행위자에게 은밀한 액세스 권한을 제공합니다.10
러시아군이 2023년 봄 공세를 시작한 이후 GRU 및 FSB와 연계된 사이버 행위자는 전투 지역의 우크라이나 통신 및 군사 인프라에서 정보를 수집하는 데 집중하고 있습니다.
3월부터 Microsoft 위협 인텔리전스는 우크라이나 군사 통신 인프라의 주요 구성 요소를 공격하기 위해 맞춤 제작된 것으로 보이는 피싱 미끼 및 패키지와 Seashell Blizzard를 연결했습니다. 후속 행위에 대한 가시성을 확보할 수 없었습니다. 우크라이나 SBU(보안국)에 따르면 Seashell Blizzard가 우크라이나 군사 네트워크에 액세스하려고 했던 다른 시도에는 연결된 Starlink 위성 단말기의 구성에 대한 정보를 수집하고 우크라이나 군대의 위치를 수집할 수 있는 악성 소프트웨어가 포함되어 있었습니다.11 12 13
Secret Blizzard(이전의 KRYPTON)도 우크라이나 국방 관련 네트워크에서 정보 수집 거점을 확보하기 위해 움직였습니다. Microsoft 위협 인텔리전스는CERT-UA(우크라이나 정부 컴퓨터 비상 대응 팀)과의 협력을 통해 우크라이나 국방부 시스템에 Secret Blizzard의 DeliveryCheck 및 Kazuar 백도어 악성 소프트웨어가 존재함을 확인했습니다.14Kazuar는 다양한 애플리케이션, 인증 데이터, 프록시, 쿠키에서 자격 증명을 훔치고 운영 체제 로그에서 데이터를 검색하는 등 40개 이상의 기능을 수행할 수 있습니다.합니다.15Secret Blizzard는 특히 Signal Desktop 메시징 애플리케이션에서 메시지가 포함된 파일을 훔쳐 개인 Signal 채팅을 읽을 수 있도록 하는 데 관심이 있었습니다.16
Forest Blizzard(이전의 STRONTIUM)는 전통적인 첩보 대상인 미국, 캐나다, 유럽의 방위 관련 조직에 다시 초점을 맞추고 군사 지원과 훈련을 통해 우크라이나 군대가 전투를 계속할 수 있도록 지원하고 있습니다.
3월부터 Forest Blizzard는 새로운 회피 기법이 적용된 피싱 메시지를 통해 방어 조직에 대한 초기 액세스를 시도했습니다. 예를 들어 지난 8월에 Forest Blizzard는 CVE-2023-38831에 대한 익스플로잇이 포함된 피싱 이메일을 유럽 방위 기관의 계정 소유자에게 보냈습니다. CVE-2023-38831은 사용자가 ZIP 아카이브 내의 정상 파일을 보려고 할 때 공격자가 임의 코드를 실행하도록 허용하는 WinRAR 소프트웨어의 보안 취약점입니다.
또한 행위자는 명령 및 제어를 위해 Mockbin 및 Mocky와 같은 합법적인 개발자 도구를 활용하고 있습니다. 9월 말 현재 해당 행위자는 GitHub와 Mockbin 서비스를 악용한 피싱 캠페인을 진행했습니다. CERT-UA와 기타 사이버 보안 회사는 지난 9월에 이러한 활동을 공개하면서 해당 행위자가 성인 엔터테인먼트 페이지를 사용하여 피해자가 링크를 클릭하거나 파일을 열면 악성 Mockbin 인프라로 리디렉션되도록 유도했다고 지적했습니다.17 18 Microsoft는 9월 말에 기술 테마 페이지 사용에 대한 전환을 관찰했습니다. 각각의 경우 행위자는 피해자를 Mockbin URL로 리디렉션하고 Windows 업데이트를 가장한 악성 LNK(바로 가기) 파일과 함께 번들로 제공되는 zip 파일을 다운로드하는 악성 링크가 포함된 피싱 메일을 보냈습니다. 그런 다음 LNK 파일은 다른 PowerShell 스크립트를 다운로드하고 실행하여 지속성을 설정하고 데이터 도용과 같은 후속 작업을 수행합니다.
MTAC는 2023년 내내 2022년 봄부터 우크라이나의 국제 지지자들을 대상으로 정교한 친러시아 영향력 공작을 담당해온 러시아 연계 영향력 행위자인 Storm-1099를 계속 관찰했습니다.
연구 그룹 EU DisinfoLab이 ‘Doppelganger’라고 명명한 대규모 웹 사이트 위조 작업으로 가장 잘 알려진19 Storm-1099의 활동에는 RRN(Reliable Recent News)과 같은 고유한 유명 매체, 반우크라이나 만화 시리즈인 ‘Ukraine Inc.’와 같은 멀티미디어 프로젝트, 디지털 세계와 실제 세계를 연결하는 현장 시연이 포함됩니다. 기여도를 확신할 수는 없지만 러시아 국가와 연관성이 입증된 자금력이 풍부한 러시아 정치 기술자, 정치 선동가, PR 전문가가 여러 차례 Storm-1099 캠페인을 수행하고 지원했습니다.20
Storm-1099의 Doppelganger 작전은 기술 기업과 연구 기관의 지속적인 보고 및 완화 시도에도 불구하고 이 보고서 작성 시점을 기준으로 여전히 유효합니다.21 이 행위자는 역사적으로 서유럽(압도적으로는 독일)을 표적으로 삼았지만 프랑스, 이탈리아, 우크라이나도 표적으로 삼았습니다. 최근 몇 달 동안 Storm-1099는 미국과 이스라엘로 공격의 초점을 옮겼습니다. 이러한 전환은 2023년 1월에 이스라엘에서 사법 제도 개편안에 반대하는 대규모 시위가 벌어진 가운데 시작되었으며 10월 초에 이스라엘과 하마스 간 전쟁이 발발한 이후에는 더욱 심화되었습니다. 새로 탄생한 유명 매체는 미국 정치와 다가오는 2024년 미국 대선의 우선순위가 높아지고 있음을 반영하는 반면, 기존 Storm-1099 자산은 하마스가 10월 7일 이스라엘 공격을 위해 암시장에서 우크라이나 무기를 구매했다는 거짓 주장을 강력하게 내세웠습니다.
최근에는 10월 말에 MTAC가 Storm-1099 자산으로 평가하는 계정이 소셜 미디어에서 가짜 기사 및 웹 사이트와 더불어 새로운 종류의 위조를 조장하는 것을 관찰했습니다. 이는 표면적으로는 유명 매체가 만든 일련의 짧은 가짜 뉴스 클립으로, 우크라이나와 이스라엘에 대한 지지를 약화시키기 위해 친러시아 정치적 선동을 퍼뜨리고 있습니다. 비디오 스푸핑을 사용하여 정치적 선동 문구를 퍼뜨리는 이러한 전략은 최근 몇 달 동안 친러시아 행위자에게서 광범위하게 관찰된 전략이지만 Storm-1099가 이러한 비디오 콘텐츠를 홍보하는 것은 행위자의 다양한 영향력 기술과 메시지 목표를 강조하고 있을 뿐입니다.
10월 7일 하마스의 이스라엘 공격 이후 러시아 국영 미디어와 국가에 동조하는 영향력 행위자는 이스라엘과 하마스의 전쟁을 악용하여 반우크라이나 내러티브와 반미 정서를 조장하고 모든 당사자 간의 긴장을 악화시키기 위해 노력했습니다. 이러한 활동은 전쟁에 대한 반응이며 일반적으로 범위가 제한되어 있지만 공개적으로 국가가 후원하는 미디어와 여러 소셜 미디어 플랫폼에 걸쳐 있는 러시아 관련 비밀 소셜 미디어 네트워크가 모두 포함됩니다.
러시아 정치 선동가와 친러시아 소셜 미디어 네트워크가 홍보하는 내러티브는 우크라이나가 평판이 좋은 언론 매체와 조작된 비디오를 스푸핑하여 하마스 무장 세력을 무장시켰다는 거짓 주장을 통해 이스라엘을 우크라이나와 대립시키고 키예프에 대한 서방의 지원을 약화시키려고 합니다. 미국인을 포함한 외국인 신병이 우크라이나에서 가자 지구의 IDF(이스라엘 방위군) 작전에 참여하기 위해 이송되었다고 주장하는 가짜 비디오는 소셜 미디어 플랫폼 전반에 걸쳐 수십만 건의 조회수를 기록했으며 해당 콘텐츠의 한 가지 예에 불과합니다. 이 전략은 반우크라이나 내러티브를 광범위한 대상에게 전달하고 개발되고 있는 주요 뉴스 스토리에 맞추어 가짜 내러티브를 형성하여 참여를 유도합니다.
러시아는 또한 실제 이벤트 홍보를 통해 디지털 영향력 공작을 강화합니다. 러시아 매체는 러시아 국영 통신사의 현장 특파원을 포함하여 중동 및 유럽에서 이스라엘-하마스 전쟁과 관련된 시위를 증폭시키는 선동적인 콘텐츠를 공격적으로 홍보하고 있습니다. 2023년 10월 말에 프랑스 당국은 몰도바 국적자 4명이 파리 공공장소에 스텐실로 찍힌 다윗의 별 그래피티를 한 것과 관련이 있을 가능성이 있다고 주장했습니다. 몰도바인 중 두 명은 자신이 러시아어를 구사하는 사람의 지시를 받았다고 주장한 것으로 알려졌으며, 이는 그래피티에 대해 러시아의 책임이 있을 수 있음을 시사합니다. 그래피티 이미지는 나중에 Storm-1099 자산에 의해 퍼져나갔습니다.22
러시아는 현재 진행 중인 이스라엘과 하마스 간 분쟁이 우크라이나 전쟁에서 서방의 관심을 분산함으로써 지정학적으로 유리하다고 판단하고 있는 것으로 보입니다. 러시아의 기존 영향력 플레이북에서 자주 사용되는 전략에 따라 MTAC는 이러한 행위자들이 계속해서 온라인 정치적 선동을 퍼뜨리고 다른 주요 국제 이벤트를 활용하여 긴장을 유발하고 러시아의 우크라이나 침공에 대응하는 서방의 능력을 방해하려고 시도할 것이라고 평가합니다.
반우크라이나 정치적 선동은 2022년 본격적인 침공 이전부터 러시아의 영향력 공작의 많은 부분을 차지하고 있었습니다. 그러나 최근 몇 달 동안 친러시아 및 러시아 연계 영향력 네트워크는 이러한 메시지를 전파하기 위해 보다 역동적인 매체인 비디오를 활용하고 권위 있는 미디어 매체를 스푸핑하여 신뢰도를 높이는 데 주력하고 있습니다. MTAC는 조작된 비디오 콘텐츠를 푸시하기 위한 주류 뉴스 및 엔터테인먼트 미디어 브랜드 스푸핑과 관련된 알려지지 않은 친러시아 행위자가 진행 중인 두 가지 캠페인을 관찰했습니다. 해당 활동은 이전의 러시아 정치적 선동 캠페인과 마찬가지로 우크라이나 대통령 볼로디미르 젤렌스키를 부패한 마약 중독자로, 키예프에 대한 서방의 지원을 자국민에게 해로운 것으로 묘사하는 데 초점을 맞추고 있습니다. 두 캠페인의 콘텐츠는 일관되게 우크라이나에 대한 지지를 약화시키려고 하지만, 2023년 6월 타이탄 잠수정 폭발 사건이나 이스라엘-하마스 전쟁과 같은 새로운 뉴스 이벤트에 맞춰 내러티브를 조정하여 더 많은 시청자에게 다가가고 있습니다.
이러한 비디오 중심 캠페인 중 하나에는 주류 언론 매체의 짧은 뉴스 보도를 가장하여 반우크라이나 성향의 크렘린과 연계된 거짓 주제와 내러티브를 퍼뜨리는 일련의 조작된 비디오가 포함됩니다. MTAC는 2022년 4월 친러시아 Telegram 채널에서 가짜 BBC 뉴스 비디오를 게시하면서 이러한 활동을 처음 관찰했습니다. 이 비디오는 우크라이나군이 수십 명의 민간인을 죽인 미사일 공격에 책임이 있다고 주장했습니다. 해당 비디오는 BBC의 로고, 색 구성표, 디자인을 사용했으며 슬라브어를 영어로 번역할 때 흔히 발생하는 오류가 포함된 영어 자막을 제공합니다.
이러한 캠페인은 2022년 내내 계속되었고 2023년 여름에는 더욱 가속화되었습니다. 이 보고서를 작성할 당시 MTAC는 캠페인에서 12개 이상의 스푸핑된 미디어 비디오를 관찰했으며 가장 자주 스푸핑된 매체는 BBC News, Al Jazeera, EuroNews입니다. 러시아어로 된 Telegram 채널에서 먼저 비디오를 퍼뜨린 후 주요 소셜 미디어 플랫폼으로 확산시켰습니다.
이러한 콘텐츠는 도달 범위가 제한되어 있지만 AI의 힘으로 정제 또는 개선되거나 보다 신뢰할 수 있는 메신저로 증폭되면 미래의 대상에게 확실한 위협이 될 수 있습니다. 스푸핑된 뉴스 클립에 대한 책임이 있는 친러시아 행위자는 현재 세계 이슈에 민감하고 민첩하게 움직입니다. 예를 들어 가짜 BBC 뉴스 비디오는 하마스 무장 세력이 사용하는 무기가 우크라이나 군 관계자가 암시장을 통해 이 조직에 판매한 사실을 탐사 보도 기관인 Bellingcat이 밝혀냈다고 허위로 주장했습니다. 이 비디오 콘텐츠는 비디오 공개 하루 전 드미트리 메드베데프 전 러시아 대통령의 공개 발언과 매우 유사하여, 해당 캠페인이 러시아 정부의 공공연한 메시지와 매우 밀접하게 연계되어 있음을 보여 줍니다.23
2023년 7월부터 친러시아 소셜 미디어 채널은 반우크라이나 정치적 선동을 위해 거짓으로 편집된 유명 인사의 비디오를 유포하기 시작했습니다. 러시아에 동조하는 알려지지 않은 영향력 행위자의 작업인 이 비디오는 유명 인사와 기타 공인이 유료 사용자에게 개인 설정된 비디오 메시지를 녹화하여 전송할 수 있는 인기 웹 사이트인 Cameo를 활용한 것으로 보입니다. 알려지지 않은 행위자가 유명 인사가 약물 남용에 대해 ‘블라디미르’에게 도움을 요청하는 모습이 자주 등장하는 짧은 비디오 메시지에 이모티콘과 링크를 포함하도록 편집했습니다. 이 비디오는 친러시아 소셜 미디어 커뮤니티를 통해 유포되고 러시아 국가 출연 언론 매체 및 국영 매체를 통해 볼로디미르 젤렌스키 우크라이나 대통령에게 보내는 메시지로 허위 묘사되어 확대 재생산됩니다. 어떤 경우에는 유명 인사의 언론사 로고와 유명 인사의 소셜 미디어 핸들을 추가하여 유명 인사가 젤렌스키에게 공개적으로 호소하는 뉴스 클립이나 유명 인사 자신의 소셜 미디어 게시물처럼 보이게 만들기도 했습니다. 크렘린 직원과 러시아 국가가 후원하는 정치적 선동은 젤렌스키 대통령이 약물 남용으로 어려움을 겪고 있다는 거짓 주장을 오랫동안 조장해 왔지만 이번 캠페인은 온라인 정보 공간에서 내러티브를 확대하려는 친러시아 행위자의 새로운 접근 방식을 보여 줍니다.
7월 말에 관찰된 캠페인의 첫 번째 비디오에는 우크라이나 국기 이모티콘, 미국 언론 매체인 TMZ의 워터마크, 약물 남용 회복 센터 및 젤렌스키 대통령의 공식 소셜 미디어 페이지 중 하나에 대한 링크가 포함되어 있습니다. 2023년 10월 말 현재 친러시아 성향의 소셜 미디어 채널은 6개의 비디오를 추가로 유포했습니다. 특히 8월 17일 러시아 국영 언론 매체인 RIA Novosti는 미국 배우 존 맥긴리가 출연한 비디오를 마치 맥긴리가 젤렌스키에게 직접 호소하는 것처럼 다룬 기사를 게재했습니다.24 맥긴리 외에도 배우 일라이자 우드, 딘 노리스, 케이트 플래너리, 프리실라 프레슬리, 음악가 샤보 오다지안, 복서 마이크 타이슨 등 유명 인사가 캠페인에 등장합니다. 미국의 승인을 받은 언론 매체인 Tsargrad를 포함한 다른 러시아 국영 언론 매체도도 캠페인의 내용을 확대했습니다.25
우크라이나의 군 최고 책임자에 따르면 러시아 전투기가 새로운 단계의 정적인 참호전으로 옮겨가고 있으며, 이는 분쟁이 더욱 장기화될 것임을 시사합니다.26키예프가 저항을 지속하려면 꾸준한 무기 공급과 대중의 지지가 필요하며, 러시아 사이버 및 영향력 행위자는 우크라이나 국민의 사기를 떨어뜨리고 키예프의 외부 군사 및 재정 지원 소스를 약화시키기 위한 노력을 강화할 것으로 보입니다.
겨울이 다가오면서 우크라이나의 전력 및 수자원 시설을 겨냥한 군사 공격과 해당 네트워크에 대한 파괴적인 와이퍼 공격이 다시 발생할 수 있습니다.27CERT-UA 우크라이나 사이버 보안 당국은 9월에 우크라이나 에너지 네트워크가 지속적인 위협을 받고 있다고 발표했으며 Microsoft 위협 인텔리전스는 8월부터 10월까지 우크라이나 에너지 부문 네트워크에 대한 GRU 위협 활동의 아티팩트를 관찰했습니다.28Microsoft는 8월에 우크라이나 전력 회사 네트워크에 대해 Sdelete 유틸리티가 최소 한 건 이상 파괴적으로 사용되는 것을 관찰했습니다.29
우크라이나 외에도 2024년에 있을 미국 대선과 기타 주요 정치 경선에서는 악의적인 영향력 행위자가 비디오 미디어와 초기 AI 기술을 활용하여 우크라이나를 지지하는 선출직 공무원에게서 정치적 지지를 돌릴 수 있는 기회를 제공할 수 있습니다.30
Microsoft는 이러한 다각적인 위협으로부터 우크라이나를 포함한 전 세계 고객을 보호하기 위해 여러 방면에서 노력하고 있습니다. Secure Future Initiative에 따라 Microsoft는 AI 기반 사이버 방어와 보안 소프트웨어 엔지니어링의 발전을 사이버 위협으로부터 민간인을 보호하기 위한 국제 규범을 강화하는 노력과 통합하고 있습니다. 31또한 내년 한 해 동안 20억 명이 넘는 사람들이 민주적 절차에 참여할 준비를 하는 가운데 전 세계 유권자, 후보자, 캠페인, 선거 당국을 보호하기 위해 핵심 원칙과 함께 자원을 배치하고 있습니다.32
우크라이나의 최신 파괴적 공격 방법에 대한 기술 정보는 다음을 참조하세요. https://go.microsoft.com/fwlink/?linkid=2262377
2023년 3월 15일부터 2023년 10월 23일 사이에 발행된 알림을 기준으로 합니다.
hxxps://cert[.gov[.]ua/article/5702579
ria[.]ru/20230817/zelenskiy-1890522044.html
tsargrad[.]tv/news/jelajdzha-vud-poprosil-zelenskogo-vylechitsja_829613; iz[.]ru/1574689/2023-09-15/aktrisa-iz-seriala-ofis-posovetovala-zelenskomu-otpravitsia-v-rekhab
기술 세부 정보는 다음을 참조하세요. https://go.microsoft.com/fwlink/?linkid=2262377
Microsoft 팔로우