카스퍼 스키 랩은 "레드 10 월"에 대한 두 부분으로 구성된 보고서 중 첫 번째 보고서를 발표했습니다.이 회사는 유럽 전역에서 고위급 정부 시스템에 침입하고 있으며 분류 된 문서를 대상으로 할 수 있다고 생각하는 악성 프로그램 공격입니다. 보고서에 따르면, 도난당한 데이터는 "수백 테라 바이트"정도이며 5 년 동안 거의 감지되지 않았다.
레드 10 월 ("Rocra")은 처음 발견 된 달과 저자 Tom Clancy가 상상 한 정숙하고 조용한 러시아 잠수함에서 유래되었습니다. Red 10 월과 그 배경은 PC Mag에서 확인할 수 있습니다.
구체적으로 대상 공격
이 보고서는 Red October을 "프레임 워크"로 묘사하며, 피해자의 약점을 이용하기 위해 신속하게 업그레이드 할 수 있습니다. 공격자들은 스피어 피싱 이메일이나 대상에 호소하기 위해 감염된 문서를 사용하여 공격을 시작했습니다. 일단 감염되면 침입자는 침입을 증가시키기 위해 특정 모듈을 설치하기 전에 시스템에 대한 정보를 수집합니다. 카스퍼 스키는 약 30 개의 모듈 범주에 해당하는 1, 000 개의 고유 파일을 계산했습니다.
이것은 Flame이나 다른 헤드 라인 잡기 맬웨어와는 현저히 다른 접근 방식입니다. 이 보고서는 "공격자와 공격자 사이에 높은 수준의 상호 작용이있다.이 작업은 희생자가 가지고있는 구성의 종류, 사용하는 문서, 소프트웨어, 언어 등의 종류에 따라 결정된다"고 말했다.
카스퍼 스키는“자동화 된 사이버 스파이 캠페인 인 Flame and Gauss와 비교할 때 Rocra는 훨씬 더 '개인적'이며 피해자를 위해 미세 조정되었습니다.
공격자들은 정보를 도용하기 위해 전술을 변화시키는 체계적인 방법만큼이나 악의적이었습니다. 카스퍼 스키는“감염된 네트워크에서 수집 된 정보는 나중에 공격에 재사용됩니다. 예를 들어, 도난 된 자격 증명은 목록에서 컴파일되어 공격자가 다른 위치의 암호 및 네트워크 자격 증명을 추측해야 할 때 사용되었습니다."
레이더에서 벗어나기
이러한 종류의 표적 공격으로 인해 10 월 이후의 적들이 높은 수준의 표적을 쫓을 수 있었을뿐만 아니라 몇 년 동안 작전을 탐지 할 수 없었습니다. 카스퍼 스키의 선임 연구원 인 Roel Schouwenberg는 "고 숙련되고 잘 자금을 지원받는 공격자와 제한된 배포판의 조합은 일반적으로 멀웨어가 상당한 시간 동안 레이더에 남아있을 수 있음을 의미합니다"라고 SecurityWatch에 말했습니다. "또한 우리는 제로 데이 취약점의 사용을 보지 못했습니다. 다시 패치 적용의 중요성을 보여줍니다."
Schouwenberg는 여러 계층의 보안이 이러한 종류의 공격을 차단하는 데 도움이 될 수 있다고 말했습니다. "이것은 심층 방어가 중요한 이유이며 기본 거부, 화이트리스트 및 응용 프로그램 제어와 같은 접근 방식이 적용됩니다. 정확한 탐지 없이도 공격을 중단 할 수 있습니다."
국가의 일이 반드시 필요한 것은 아니다
높은 수준의 목표에도 불구하고 카스퍼 스키는 국가가 후원하는 공격과 결정적인 연관성이 없다고 강조합니다. 보고서는 대상 정보가 국가들에게 가치가있을 수 있지만, 이러한 정보는 지하에서 거래 될 수 있으며 최고 입찰자에게 판매 될 수 있으며, 물론 어디에서나 가능할 수 있다고 말했다.
레드 10 월과 같은 맞춤형 위협은 펜타곤 보안 요원을 밤새도록하는 최악의 시나리오입니다. 다행스럽게도 Red October를 성공적으로 만들었다는 사실은 당신과 나 같은 일반 소비자를 위협 할 가능성이 없다는 것을 의미합니다.
불행히도, 새롭고 강력한 플레이어가 수년간 무대 뒤에서 활동 해왔다는 사실은 변하지 않습니다.
Max에서 더 많은 정보를 얻으려면 Twitter @wmaxeddy에서 팔로우하십시오.
