Trace Id is missing

전에 없던 새로운 러시아 해킹 단체 Cadet Blizzard 등장

파란색과 노란색 원 안에 육각형이 여럿 있는 모습.

러시아의 우크라이나 침공이 2년째 계속되면서...

Microsoft는 이에 대응하기 위해 글로벌 파트너와 지속적으로 협력하고 있습니다. 파괴형 사이버 기능과 정보 작전이 노출되면 러시아 정부가 지원하는 해커들이 사용하는 도구와 기법이 더욱 명확해집니다. 분쟁 전반에 걸쳐 러시아 해커들은 다양한 수준의 정교함과 영향력을 갖춘 다양한 파괴형 기능을 배포했습니다. 이는 해커들이 하이브리드 전쟁 중에 새로운 기술을 신속하게 구현하는 방식을 보여 주는 동시에 중대한 운영 오류가 발생하고 보안 커뮤니티가 방어를 위해 결집할 때 파괴형 작전 실행이 마주하는 실질적인 한계를 보여 줍니다. 이러한 인사이트는 보안 연구원이 전시 환경에서 진화하는 공격을 방어하기 위해 탐지 및 완화 기능을 지속적으로 개선하는 데 도움이 됩니다.

현재 Microsoft 위협 인텔리전스는 이전에 DEV-0586이라는 코드명으로 추적했으며 현재 Cadet Blizzard라고 새롭게 명명된 별개의 러시아 정부 지원 해킹 단체의 기법에 대한 업데이트된 세부 정보를 공유하고 있습니다. 지난 1년 동안 이들의 침입 활동을 조사한 결과, Microsoft는 공격자의 도구, 피해자, 동기에 대한 분석과 정보에 대해 높은 확신을 얻었으며 이 단체를 명명된 위협 행위자로 전환하는 기준을 충족했습니다. 

Microsoft는 Cadet Blizzard 작전이 러시아 총정찰국(GRU)과 연관되어 있지만 Forest Blizzard(STRONTIUM) 및 Seashell Blizzard(IRIDIUM)와 같이 더 명확히 확립된 잘 알려진 다른 GRU 소속 단체와는 다른 별개의 조직이라고 평가합니다. Microsoft가 다양한 수준의 수많은 러시아 정부 소속 활동 조직을 지속적으로 추적하고 있는 가운데, 새로운 GRU 소속 해커, 특히 우크라이나에서 보다 광범위한 군사적 목표를 지원할 가능성이 있는 파괴형 사이버 작전을 수행한 해커의 출현은 러시아 사이버 위협 환경에서 주목할 만한 발전 사항입니다. 러시아가 우크라이나를 침공하기 한 달 전, Cadet Blizzard는 우크라이나 정부 조직을 상대로 MBR(마스터 부트 레코드)을 삭제하는 파괴형 기능인 WhisperGate를 만들어 배포하면서 이후의 파괴 활동을 예고했습니다. Cadet Blizzard는 또한 "Free Civilian"으로 알려진 해킹 및 유출 포럼을 포함한 여러 조직적 활동뿐만 아니라 여러 우크라이나 조직 웹 사이트의 훼손에도 연관되어 있습니다. 

Microsoft는 2022년 1월 WhisperGate의 배포 이후 Cadet Blizzard를 추적해 왔습니다. Microsoft는 이들이 적어도 2020년부터 어느 정도 운영되어 왔으며 현재까지 계속해서 네트워크 작전을 수행해 오고 있다고 평가합니다. Cadet Blizzard는 러시아의 우크라이나 침공 전반에 걸쳐 GRU 주도 작전의 임무 및 평가 목표에 따라 지역적으로 중요한 지역에서 집중적인 파괴형 공격, 간첩 활동 및 정보 작전에 참여했습니다. Cadet Blizzard의 작전은 Seashell Blizzard와 같은 보다 분명히 자리를 잡은 해킹 단체에 비해 규모와 범위 측면에서 상대적으로 덜 다발적이지만 강한 영향을 주도록 구성되어 있으며 네트워크 운영의 연속성 방해와 표적화된 해킹 및 유출 작전을 통한 민감한 정보의 노출 위험을 빈번하게 발생시킵니다. 우크라이나의 정부 기관과 정보 기술 제공업체 등이 주요 표적 부문이지만, 유럽과 라틴 아메리카의 조직 또한 표적이 되기도 했습니다.

Microsoft는 러시아의 우크라이나 전쟁이 시작된 이래로 CERT-UA와 긴밀히 협력해 왔으며 Cadet Blizzard가 수행한 공격과 같은 사이버 공격으로부터 보호하기 위해 우크라이나와 주변 국가를 계속 지원하고 있습니다. 관찰된 모든 국가 단위 해킹 활동에서와 마찬가지로 Microsoft는 표적이 되거나 손상을 입은 고객에게 직접적이고 적극적으로 알리고 조사를 진행하는 데 필요한 정보를 제공합니다. 또한 Microsoft는 글로벌 보안 커뮤니티 구성원 및 기타 전략적 파트너와 적극적으로 협력하여 여러 채널을 통해 이러한 진화하는 위협을 해결할 수 있는 정보를 공유하고 있습니다. Microsoft는 이 활동을 별개의 위협 행위자 이름으로 승격시켜 이 정보를 더 큰 규모의 보안 커뮤니티와 공유해 보호와 Cadet Blizzard 위협 완화를 위한 인사이트를 제공하고 있습니다. 조직은 Cadet Blizzard로부터 환경을 보호하기 위한 조치를 적극적으로 취해야 하며, 이 블로그는 중단을 감지하고 예방하는 방법에 대해 논의하는 것을 더 목표로 합니다.

관련 기사

우크라이나 디지털 전장의 사이버 및 영향력 공작 전쟁

Microsoft 위협 인텔리전스는 우크라이나에서 있었던 1년간의 사이버 및 영향력 공작을 조사하고, 사이버 위협의 새로운 동향을 파악하며, 전쟁이 2년차에 접어들면서 예상되는 사항을 확인합니다.

우크라이나 방어: 사이버 전쟁으로부터 일찍이 얻은 교훈

러시아와 우크라이나 간 전쟁에서 Microsoft가 진행 중인 위협 인텔리전스 활동의 최신 연구 결과와 그 첫 4개월 동안의 결론은 정부, 기업, NGO, 대학을 지원하기 위한 지속적이고 새로운 기술, 데이터, 파트너십 투자의 필요성을 강화합니다.

특별 보고서: 우크라이나

러시아 해킹 단체들은 우크라이나를 대상으로 점점 더 파괴적이고 가시적인 사이버 공격을 시작했으며 여기에는 피싱, 정찰, 공공 정보 소스 손상 시도 등의 활동이 포함되었습니다.

Microsoft Security 팔로우