러시아 군사 사이버 행위자들이 미국 및 세계의 중요 인프라를 표적으로 삼고 있다.
FBI, CISA, NSA는 2020년부터 스파이 활동, 사보타주, 평판 훼손을 목표로 글로벌 기업을 대상으로 사이버 작전을 수행한 러시아 GRU 29155 부대를 확인했습니다. 이 부대는 다른 GRU 사이버 그룹과 달리 2022년 1월 우크라이나 조직을 대상으로 파괴적인 위스퍼게이트 멀웨어를 배포했습니다. 이러한 위협을 완화하기 위해 조직은 시스템 업데이트, 네트워크 세분화, 다단계 인증의 우선순위를 정해야 합니다. 이 권고문은 공개적으로 사용 가능한 도구 및 취약점 사용을 포함하여 유닛 29155가 사용하는 전술, 기술 및 절차를 간략하게 설명합니다.FBI는 29155 부대의 사이버 행위자들을 사이버 작전을 통해 경험을 쌓고 GRU가 아닌 개인에게 지원을 의존하는 하급 GRU 장교로 평가합니다. 사이버 보안 업계에서는 이 그룹을 캐뎃 블리자드, 엠버 베어, 프로즌비스타 등 다양한 이름으로 추적하고 있습니다.29155 부대는 우크라이나 외에도 나토 회원국과 유럽, 라틴 아메리카, 중앙아시아의 다른 국가들을 표적으로 삼았습니다. 이들의 활동에는 웹사이트 훼손, 인프라 스캔, 데이터 유출, 공공 데이터 유출 등이 포함됩니다. 2022년 초부터는 우크라이나에 대한 원조를 방해하는 데 초점을 맞추고 있습니다.FBI는 26개 NATO 회원국과 여러 EU 국가에서 14,000건 이상의 도메인 스캔 사례를 관찰했습니다. 29155 유닛은 정부 서비스, 금융, 교통, 에너지, 의료 등 중요 인프라 부문을 표적으로 삼고 있습니다.이들의 정찰 기법에는 Acunetix, Amass, MASSCAN, Shodan과 같은 도구를 사용하여 취약점을 스캔하고 정보를 수집하는 것이 포함됩니다. 이들은 다양한 CVE에 대한 익스플로잇 스크립트를 확보하고 이를 초기 액세스에 사용하는 것이 관찰되었습니다. 이 그룹은 일반적인 레드팀 기법과 공개적으로 사용 가능한 도구를 자주 활용하며 다크웹 포럼을 통해 멀웨어와 로더를 얻습니다. 이들은 다화 IP 카메라의 취약점을 악용하여 인증을 우회하고 데이터를 유출했습니다.29155 유닛은 쇼단을 사용하여 IoT 장치를 식별하고 IP 카메라의 취약점을 악용하여 액세스 권한을 획득하고 구성 설정을 덤프하는 등 다양한 방법을 사용하여 측면 이동을 수행했습니다. 이 권고문은 이 그룹과 관련된 잠재적 위협을 식별하고 완화하는 데 도움이 되는 침해 지표(IOC) 목록을 제공합니다.