- 사이드윈더, 남아시아의 핵 발전소 공격 발견 - 아프리카, 동남아시아, 유럽 일부 지역으로도 활동 영역 확장
카스퍼스키는 오늘, 카스퍼스키 글로벌 연구 및 분석 팀(GReAT)이 APT 그룹 사이드윈더(SideWinder)의 집중 공격 대상이 남아시아의 핵 발전소로 이동하는 추세임을 추적했다고 밝혔다. 이는 타깃 스파이 활동에서 중요한 확대를 뜻하며, 특히 사이드윈더는 아프리카, 동남아시아, 유럽 일부 지역으로도 활동 영역을 확장했다.
카스퍼스키 글로벌 연구 및 분석 팀(GReAT)은 사이드윈더 APT 그룹이 핵시설 등 산업 분야를 확대하고, 전 세계로 활동영역을 확장하는 것뿐만 아니라 공격 능력에서 전략적 진화가 이어지고 있다고 밝혔다.
현재 이 그룹은 남아시아의 핵 발전소와 에너지 시설에 대한 공격 집중도가 높아졌으며, 이는 그룹의 전통적인 활동 영역을 넘어선 것으로 지리적 확장을 의미한다.
지난 2012년부터 활동을 시작한 사이드윈더(SideWinder)는 그동안 정부, 군사, 외교 기관을 주요 목표로 삼아왔다. 하지만 이 그룹은 이제 동남아시아의 해상 인프라 및 물류 회사들을 포함하여 핵 분야를 새로운 목표로 삼아 피해자의 범위를 확장했다. 카스퍼스키 연구원들은 핵 관련 기관을 대상으로 한 공격이 급증한 것을 확인했으며, 이는 스피어 피싱 이메일과 산업 특화 용어가 포함된 악성 문서를 이용한 공격 방식이었다.
카스퍼스키는 사이드윈더를 15개국, 3개 대륙에서 추적하고 있으며, 이 그룹이 아프리카 지부티(Djibouti)에서 수많은 공격을 시작한 뒤 이집트로 초점을 옮기고, 그 이후 모잠비크, 오스트리아, 불가리아, 캄보디아, 인도네시아, 필리핀, 베트남에서도 추가적인 작전을 개시한 것을 관찰했다. 아프가니스탄, 알제리, 르완다, 사우디아라비아, 튀르키예, 우간다의 외교 기관도 목표가 되어서, 사이드윈더의 활동이 남아시아를 넘어서고 있다고 밝혔다.
카스퍼스키 바실리 베르드니코프(Vasily Berdnikov) 글로벌 연구 및 분석 팀(GReAT) 수석 보안 연구원은 “우리가 목격하고 있는 것은 단순한 지리적 확장이 아니라, 사이드윈더의 역량과 야망에서의 전략적 진화다. 이들은 탐지 후 놀라운 속도로 업데이트된 멀웨어 변종을 배포하고 있다. 이에 위협 환경을 사후 대응하는 방식에서 거의 실시간 대응으로 전환해야만 한다”고 강조했다.
사이드윈더는 MS 오피스 취약점(CVE-2017-11882)을 여전히 활용하고 있지만, 탐지를 회피하기 위해 빠르게 도구 집합을 수정하는 방식을 사용하고 있다. 핵 시설을 타깃으로 할 때, 이 그룹은 규제나 발전소와 관련된 사항에 대해 우려하는 척하는 스피어 피싱 이메일을 제작한다. 해당 문서가 열리면, 이는 공격자가 핵 시설의 운영 데이터, 연구 프로젝트, 인사 정보 등에 접근할 수 있는 익스플로잇 체인을 시작하게 된다.
카스퍼스키 이효은 한국지사장은 "사이드윈더(SideWinder) APT 그룹은 남아시아의 핵 발전소를 목표로 삼는 전략적 전환을 하였으며, 이는 스파이 활동의 위험한 확대를 의미한다. 동시에 이 그룹은 아프리카, 동남아시아 및 일부 유럽 지역으로 활동 범위를 확장하고 있어, 지리적 확장뿐만 아니라 공격 능력에서 전략적 진화를 이루고 있음을 나타내며, 이는 우리의 사이버 보안 방어에 새로운 도전과 위험을 시사한다“고 설명하고, ”카스퍼스키의 첨단 보안 솔루션은 지능형 위협 탐지 및 빠른 대응 메커니즘을 갖추고 있어 이러한 정교한 위협을 효과적으로 대응할 수 있다. 카스퍼스키는 기업들이 포괄적인 사이버 보안 접근법을 운영할 것을 권장한다. 여기에는 강력한 패치 관리, 머신러닝 기반의 다층 방어 시스템, 그리고 고급 스피어 피싱 공격을 인식하고 완화하는 정기적인 직원 교육이 포함되어야 한다”고 밝혔다.
카스퍼스키는 취약점 관리 솔루션, 초기 공격 예방, 실시간 위협 탐지 및 자동화된 대응을 통해 기업들이 이러한 공격을 막을 수 있도록 돕고 있으며, 사이드윈더의 진화하는 맬웨어에 맞춰 지속적으로 탐지 규칙을 업데이트하고 있다.
#카스퍼스키#사이드윈더#APT#핵발전소#
