우크라이나 전쟁에서 사용된 9가지 데이터 와이퍼 개요

우크라이나 전쟁에서 사용된 9가지 데이터 와이퍼 개요

insikt-logo-blog.png
편집자 주: 다음 글은 전체 보고서에서 발췌한 내용입니다. 전체 분석을 읽으려면, Click Here 를 클릭하여 보고서를 PDF로 다운로드하세요.

이 보고서는 현재 진행 중인 우크라이나/러시아 전쟁과 관련하여 인식트 그룹이 분석한 9가지 와이퍼에 대한 개괄적인 비교 개요를 제공합니다. 이는 도구의 유사점과 차이점, 그리고 도구의 개발과 사용의 지정학적 의미에 대한 통찰력을 제공하기 위한 것입니다. 이 보고서의 대상 독자는 와이퍼에 대한 높은 수준의 기술 개요를 원하는 사용자입니다. 사용된 소스에는 리버스 엔지니어링 도구, OSINT, Recorded Future® 플랫폼, PolySwarm 등이 있습니다.

Executive Summary

우크라이나/러시아 전쟁은 주로 물리적 충돌이지만, 전쟁 직전과 첫 두 달여 동안 우크라이나 기관을 겨냥한 여러 파괴적인 데이터 삭제기가 등장하여 사이버 공간으로 분쟁이 옮겨졌습니다. 인식트 그룹이 분석한 9개의 와이퍼는 높은 수준의 파괴 목표는 동일하지만 기술적 구현과 표적이 되는 운영 체제에서 차이가 있어 각각 다른 작성자가 만든 별개의 도구일 가능성이 있습니다. 시간이 지남에 따라 와이퍼는 단계 수 감소, 난독화, 랜섬웨어로 가장하려는 시도 등 기술적 수준에서도 더 단순해졌지만 다른 알려진 러시아 국가 지원 멀웨어의 정교함 수준에는 미치지 못했습니다.

이러한 와이퍼 배포 활동은 우크라이나뿐만 아니라 다른 국가에 대한 러시아의 이전 국가 지원 사이버 작전과 일치하며, 이러한 활동은 종종 분쟁 전과 분쟁 중에 발생하며 러시아 군사 작전의 "힘의 증식" 역할을 할 가능성이 높습니다. 우크라이나 표적에 대한 파괴적인 사이버 작전을 전개하려는 지속적인 노력은 러시아 정부가 이러한 작전의 가치를 거의 확실하게 고려하고 있으며 이러한 노력이 계속될 것임을 시사합니다.

주요 판단
배경

러시아 정부 이익을 지원하기 위해 활동하는 것으로 추정되는 단체들이 러시아 군사 작전 전후 및 동시에 사이버 작전을 수행하는 관측 가능한 역사적 패턴이 존재합니다. 이러한 작전은 적어도 2008년 8월로 거슬러 올라갑니다. 당시 보고서에 따르면, 친러시아 해커들이 조지아의 정부, 은행, 언론, 통신, 교통 관련 자원에 대한 일련의 지속적인 분산 서비스 거부(DDoS) 공격과 웹사이트 훼손을 동시에 수행했습니다. 이는 러시아군이 남오세티아에서 공격을 시작하고 조지아 전역에서 폭격 작전을 벌이던 시기와 일치합니다. 2014년부터, 러시아 국가 후원형 고급 지속적 위협(APT) 그룹으로 러시아 주간 정보국(GRU) 과 연관된 샌드웜(Sandworm) 등은 우크라이나의 중요 국내 분야를 대상으로 사이버 공격을 지속적으로 수행해 왔습니다. 이는 2015년과 2016년전기 전력망 공격( 1, 2)을 비롯해 2017년에는"공공 유틸리티 기업, 은행, 공항, 정부 기관" 등을 대상으로 한 공격이 포함됩니다. 러시아의 우크라이나에 대한 전면적 침공과 이후 전쟁 발발 이후, 샌드웜(Sandworm)을 비롯한 GRU와 연관된 것으로 추정되는 위협 활동 그룹들이 우크라이나 관련 기관을 대상으로 군사 작전과 연계된 사이버 공격을 시도했으며, 최근에는 일련의 실패한 데이터 삭제 공격을 통해 이를 실행했습니다. 이 보고서는 이 맬웨어, 그 발생 시점, 그리고 이러한 맬웨어 삭제 공격에 사용된 전술, 기술, 절차(TTPs)를 분석하며, 이것이 전체 분쟁에 미치는 의미를 탐구합니다.