중국-이란-러시아 해커들, 미국 대통령 선거 관련자들 대상 해킹공격 시도
중국, 이란, 러시아 국가 후원 해커들의 미국 대선에 대한 관심이 높다. 바이든과 트럼프 선거 캠페인과 관련된 자들의 이메일 계정을 해킹하려 한 사실이 드러났다.
MS 고객 보안 및 신뢰 부문 부사장은 “이러한 공격의 대부분이 탐지 및 차단되었다”며 공격 사례 몇 건을 공개했다.
우선 러시아 해커들은 APT28 또는 팬시베어로 알려진 그룹과 연결되어 있는 것을 조사됐다.
마이크로소프트는 이 그룹이 2019년 9월부터 최근까지 전 세계 200개 이상의 조직을 대상으로 활발한 공격을 진행했으며 주로 미국 공화당원과 민주당원에게 서비스를 제공하는 미국 기반 컨설턴트와 미국의 독일 마샬 기금 및 옹호 단체와 같은 싱크 탱크, 미국 전국 및 당 조직, 영국의 유럽 인민당과 정당 등이 공격대상이라고 전했다.
이들은 일반적으로 스피어 피싱 이메일 공격을 수행했지만 최근 몇 달 동안은 계정 침해에 대한 보완 방법으로 무차별 대입 및 암호 스프레이 기술을 사용하고 있다고 밝혔다.
이러한 공격은 탐지가 쉽기 때문에 토르 익명화 서비스와 관련된 1천개 이상의 지속적으로 순환하는 IP 주소를 사용하고 활동을 은폐하기 위해 하루에 약 20개의 IP주소를 추가 및 제거해 자격 증명 대량 수집 작업을 숨겨온 것으로 조사됐다.
또 이란 해커가 수행한 공격은 포스포러스(Phosphorous), APT35, Charming Kitten, Ajax Security Team으로 추적되고 있는 그룹으로 추정된다.
마이크로소프트는 이들의 공격이 실제로 트럼프 캠페인을 표적으로 한 것으로 확인하면서 그룹과 관련된 새로운 활동도 공개했다.
2020년 5월과 6월 중, 포스포러스는 행정부 관리들과 트럼프 대통령 선거인단의 계정에 로그인을 시도했지만 실패로 끝났다.
또 마이크로소프트는 2019년 3월 법원 명령을 사용해 99개의 포스포러스 도메인을 제어한 후 지난 달에 동일한 방법을 사용해 다른 25개 도메인을 인수했으며, 결과적으로 이전에 포스포러스가 소유했던 도메인 155개를 보유하게 되었다고 설명했다.
끝으로 중국 해커그룹의 공격도 탐지됐다. 마이크로소프트는 미국 대선 캠페인을 표적으로한 공격이 구글이 올해 6월 발견한 것과 동일한 그룹인 지르코늄(Zirconium, APT31)이 관련된 것으로 추정하고 있다.
마이크로소프트는 2020년 3월과 2020년 9월 사이 이 그룹이 참여한 수천 건의 공격을 탐지했으며 해커들은 해당 기간 동안 거의 150개의 계정에 액세스할 수 있었다고 전했다.
러시아, 중국, 이란 등 정부 지원 해커들은 최근 미국 대통령 선거 및 후보와 밀접한 관련이 있는 사람 그리고 국제 문제 커뮤니티에서 저명한 개인 및 학자들을 대상으로 해킹을 시도하고 있다.
★정보보안 대표 미디어 데일리시큐!★