>
연구(Insikt)

우크라이나 전쟁에서 사용된 9가지 데이터 와이퍼 개요

게시일: 2022년 5월 12일
작성자: Insikt Group

insikt-logo-blog.png

편집자 주: 다음 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.

이 보고서는 현재 진행 중인 우크라이나/러시아 전쟁과 관련하여 인식트 그룹이 분석한 9가지 와이퍼에 대한 개괄적인 비교 개요를 제공합니다. 이는 도구의 유사점과 차이점, 그리고 도구의 개발과 사용의 지정학적 의미에 대한 통찰력을 제공하기 위한 것입니다. 이 보고서의 대상 독자는 와이퍼에 대한 높은 수준의 기술 개요를 원하는 사용자입니다. 사용된 소스에는 리버스 엔지니어링 도구, OSINT, Recorded Future® 플랫폼, PolySwarm 등이 있습니다.

Executive Summary

우크라이나/러시아 전쟁은 주로 물리적 충돌이지만, 전쟁 직전과 첫 두 달여 동안 우크라이나 기관을 겨냥한 여러 파괴적인 데이터 삭제기가 등장하여 사이버 공간으로 분쟁이 옮겨졌습니다. 인식트 그룹이 분석한 9개의 와이퍼는 높은 수준의 파괴 목표는 동일하지만 기술적 구현과 표적이 되는 운영 체제에서 차이가 있어 각각 다른 작성자가 만든 별개의 도구일 가능성이 있습니다. 시간이 지남에 따라 와이퍼는 단계 수 감소, 난독화, 랜섬웨어로 가장하려는 시도 등 기술적 수준에서도 더 단순해졌지만 다른 알려진 러시아 국가 지원 멀웨어의 정교함 수준에는 미치지 못했습니다.

이러한 와이퍼 배포 활동은 우크라이나뿐만 아니라 다른 국가에 대한 러시아의 이전 국가 지원 사이버 작전과 일치하며, 이러한 활동은 종종 분쟁 전과 분쟁 중에 발생하며 러시아 군사 작전의 "힘의 증식" 역할을 할 가능성이 높습니다. 우크라이나 표적에 대한 파괴적인 사이버 작전을 전개하려는 지속적인 노력은 러시아 정부가 이러한 작전의 가치를 거의 확실하게 고려하고 있으며 이러한 노력이 계속될 것임을 시사합니다.

주요 판단
  • 인식트 그룹이 분석한 우크라이나/러시아 분쟁과 관련된 6개의 와이퍼는 모두 Windows 시스템을 작동할 수 없게 만드는 높은 수준의 파괴적인 목적을 가지고 있으며, 다른 와이퍼는 Linux 시스템(위성 모뎀 포함)을 표적으로 삼았습니다.
  • 와이퍼는 서로 명백한 코드 유사성을 공유하지 않으며 서로 반복되거나 새로운 버전이 될 가능성이 낮습니다.
  • HermeticWiper는 HermeticWizard로 알려진 웜 구성 요소에 의해 배포되는 것으로 밝혀진 유일한 와이퍼였습니다. HermeticWizard는 피해자의 네트워크 내의 로컬 IP 주소로 확산을 제한하여 NotPetya와 같은 다른 웜 사고에서 볼 수 있는 외부 배포를 방지했습니다.
  • 와이퍼 자체에는 피해자 데이터를 추가로 유출할 수 있는 네트워크 연결 기능이 포함되어 있지 않았으며, 이는 와이퍼의 목적이 특정 단체의 표적 파괴였음을 시사합니다.
배경

관찰 가능한 역사적 패턴이 있으며, 러시아 정부의 이익을 지원하기 위해 행동할 가능성이 매우 높은 단체들이 러시아 군사 작전 이전과 동시에 사이버 작전에 관여하고 있습니다. 이러한 작전은 적어도 2008년 8월로 거슬러 올라가는데, 러시아 군이 남오세티야에서 공격을 시작하고 조지아 전역에서 폭격 캠페인을 벌이던 거의 같은 시기에 친러시아 핵티비스트들이 다수의 조지아 정부, 은행, 미디어, 통신 및 교통 자원에 대한 일련의 지속적인 분산 서비스 거부 공격과 웹사이트 훼손에 관여했다는 보고가 있습니다. 2014년부터 샌드웜과 같은 러시아 중앙정보국(GRU) 소속의 러시아 국가 지원 지능형 지속 위협(APT) 그룹은 2015년과 2016년에는 전력망, 2017년에는 '유틸리티 회사, 은행, 공항, 정부 기관' 등 우크라이나의 중요한 국내 부문에 대한 사이버 작전을 지속적으로 수행해 왔습니다 (1, 2). 러시아의 우크라이나에 대한 전면적인 침공과 그에 따른 전쟁이 시작된 후, 샌드웜과 기타 GRU와 연계된 것으로 보이는 위협 활동 그룹은 우크라이나 기관에 대한 군사 작전과 연계하여 사이버 공격을 다시 시도했으며, 가장 최근에는 일련의 실패한 데이터 삭제 공격을 전개했습니다. 이 보고서에서는 이러한 와이퍼 공격과 관련된 멀웨어, 공격 시기, 전술, 기법 및 절차(TTP)를 살펴보고 이것이 전반적인 분쟁에 어떤 영향을 미치는지 알아봅니다.

관련