>
연구(Insikt)

공각기동대 고스트 라이터: 맨디언트의 UNC1151의 벨라루스에 대한 귀속 확대

게시일: 2022년 3월 18일
작성자: Insikt Group

insikt-logo-blog.png

편집자 주: 다음 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.

이 연구는 맨디언트가 UNC1151과 대필 활동을 벨라루스에 있는 단체에 공개적으로 귀속시키고 민스크에서 러시아 군사 조직의 영향력을 설명하며 러시아의 이익과 연관성이 있음을 입증하는 내용을 확장합니다. 연구 기간은 2017년 3월부터 현재까지이며, 오픈 소스로 보강된 레코디드 퓨처 플랫폼의 데이터를 활용합니다. 이 보고서는 위협 행위자와 활동의 광범위한 영향 및 동인 간의 관계를 이해하기 위한 기반을 제공할 뿐만 아니라 기존 사이버 보안 업계 보고를 강화하고 UNC1151 및 대필 활동에 대한 이해에 대한 기존의 지식 격차를 해소하기 위한 것입니다. 이 보고서는 지능형 지속적 위협 행위자를 추적하는 사이버 보안 전문가와 UNC1151 및 고스트 라이터에 대한 더 많은 정보를 원하는 사이버 보안 전문가에게 유용할 것입니다.

Executive Summary

2021년 11월 16일, Mandiant 분석가들은 UNC1151로 지정한 사이버 위협 행위자가 수행한 활동에 대한 최근 연구 결과를 발표하고 사이버 및 정보 작전을 지원하는 합동 캠페인인 Ghostwriter에 대한 인사이트를 제공했습니다. 맨디언트 팀은 벨라루스 정부가 주로 유럽 단체를 대상으로 하는 UNC1151 활동에 책임이 있다고 높은 확신을 가지고 평가했으며, 동일한 단체가 대필 정보 작전 활동의 배후에 있는 것으로 중간 정도의 확신을 가지고 평가했습니다. 그럼에도 불구하고 맨디언트의 연구는 러시아 정부 또는 기타 국제적인 개입 가능성을 배제하지 않았습니다.

지금까지 러시아의 개입을 나타내는 기술적 증거는 부족하지만, 이는 위협 활동의 의도된 구성 요소일 가능성이 매우 높습니다. UNC1151 및 대필 활동과 러시아 위협 활동 그룹이 사용하는 전술, 기법 및 절차(TTP)에서 많은 부분이 중복되는 것을 발견했습니다. 또한, 러시아 군의 지능형 지속적 위협 그룹은 마스키로프카 또는 속임수라는 러시아 군사 훈련을 받았기 때문에 거짓 깃발이 널리 퍼져 있다는 점에 주목합니다. 이러한 활동을 통해 러시아 군과 연계된 지능형 지속적 위협(APT) 그룹은 그럴듯하게 부인할 수 있는 방식으로 활동을 계획하고 수행할 수 있습니다. 또한 벨라루스에 러시아 군대가 광범위하게 존재한다는 점과 러시아의 다른 고위급 영향력 및 훈련의 증거를 강조하며, 이는 모두 러시아가 벨라루스에 개입하고 영향력을 행사할 가능성을 시사합니다.

주요 판단

  • 레코디드 퓨처는 2021년 11월 맨디언트가 발표한 조사 결과에 대해 이의를 제기하지 않으며, 이는 UNC1151 및 대필 작전과 벨라루스 정부(벨라루스 군과 연계된 것으로 추정됨) 간의 기술적 연관성을 시사합니다.
  • 러시아 정부 기관, 특히 러시아 군사 및 학술 부문의 기관이 사이버 보안 및 정보 대치 문제와 관련하여 벨라루스 정부와 교류하고 있을 가능성이 높다는 충분한 증거가 있습니다.
  • 러시아와 벨라루스 보안 서비스 당국자 간의 고위급 회의에 대한 보고를 확인했으며, 이는 두 국가 간의 협력 가능성이 있음을 시사합니다.
  • 이 평가는 벨로루시에서 장기간에 걸친 러시아 국방부의 벨로루시 내 작전을 기반으로 하며, 러시아 중앙정보국(GRU/GU) 관련 APT 그룹에 소속된 개인을 포함한 러시아 군사 단체가 벨라루스에서 개인 및 조직을 운영, 지원 또는 훈련했을 가능성이 높습니다.
  • 이러한 기관 간의 상호 작용은 러시아 국가 산하 군사 정보 부대가 벨라루스를 작전 기지로 사용하거나 정보 전쟁 및 사이버 작전 분야에서 벨라루스 인력을 훈련하는 데 필요한 기반을 제공합니다.
  • 고스트 라이터 캠페인은 UNC1151 활동과 함께 동시 사이버 활동과 정보 작전으로 구성되었으며, GRU/GU APT 그룹은 정보 영역의 여러 측면을 활용하는 작전에 지속적으로 참여했습니다. 이러한 그룹은 대필 캠페인과 UNC1151 활동을 수행할 능력과 의도를 가지고 있을 가능성이 높습니다.
  • 러시아 GRU/GU APT 그룹은 과거 작전에서 지속적으로 프록시를 고용하거나 사이버 침입에 대한 개입을 숨기기 위해 허위 플래그 작전을 수행했으며, 벨라루스 영토에서 대필/UNC1151 활동을 수행하거나 벨라루스 군을 개입시키는 것은 러시아의 개입을 숨기기 위한 유사한 접근 방식을 제공할 가능성이 높습니다.
  • 이 연구의 관련성과 벨라루스 고스트라이터와 UNC1151 위협 활동에 대한 러시아 정부의 개입을 설명하는 것이 중요한 이유는 러시아 군이 어떻게 외국 영토에서 작전을 수행하거나 프록시를 활용하여 귀속 문제를 일으킬 수 있는지를 보여주기 때문입니다. 레코디드 퓨처 플랫폼이 지원하는 기술 및 컨텍스트 데이터의 종합은 어트리뷰션에 대한 어려움을 완화할 수 있습니다.

편집자 주: 이 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.

관련