2020년 12월 해커 집단 UNC2452가 다수 미국 정부 기관에 대한 대규모 사이버 공격을 한 게 발각됐다. 또 이 사이버 공격으로 인해 유출됐다는 윈도 소스 코드가 매물로 나와 있으며 사회에 큰 영향을 주고 있다. 이런 UNC2452 공격에 대한 세부 기술에 대해 보안 기업인 파이어아이가 설명하고 대책 툴을 무료 공개하고 있다.
UNC2452에 의한 사이버 공격은 솔라윈드(SolarWinds)가 배포한 오리온 플랫폼(Orion Platform) 소프트웨어 업데이트를 변조하면서 바뀌었다. 이 소프트웨어 업데이트는 1만 8,000여 기업과 정부 기관에 배포됐으며 미국 재무부와 국무부, 국립보건원 등 부처 외에도 마이크로소프트와 시스코 같은 기업도 피해를 입은 것으로 보도되고 있다. 브래드 스미스 마이크로소프트 사장은 지난 10년간 본 것 가운데 가장 심각한 사이버 공격 중 하나라고 사태를 심각하게 받아들이고 있다.
UNC2452 사이버 공격에 대한 조사를 진행한 파이어아이는 오리온 플랫폼 소프트웨어 업데이트에 끼워넣은 건 선버스트(SUNBURST)라는 트로이목마인 걸 판명했다. 또 수정된 소프트웨어 업데이트는 솔라윈드에 의한 정규 디지털 서명이 포함되어 있으며 변경이 이뤄진 2020년 3월부터 9개월간 누구에게도 들키지 않고 UNC2452에 의한 사이버 공격이 계속됐다.
파이어아이가 공개한 최신 보고서에 따르면 UNC2452는 공격 대상에게 감염시킨 악성코드를 이용해 액티브 디렉터리(Active Directory) 토큰 서명 인증서를 훔치고 어떤 사용자 토큰을 위조하는 것으로 밝혀지고 있다. 이 토큰을 통해 UCN2452는 마이크로소프트 365 등 응용 프로그램에 다단계 인증을 필요로 하지 않고 임의 사용자로 응용 프로그램에 로그인할 수 있는 것. 또 UCN2452는 애저 액티브 디렉터리(Azure Active Directory)에 신뢰할 수 있는 도메인을 추가해 UCN2452는 제어할 수 있는 IdP를 추가한다.
그러면 UCN2452는 모든 사용자로 이메일 송수신과 파일 전송, 실행 등 다양한 작업을 수행할 수 있다. 또 공격자는 승인된 사용자로 인식되어 있기 때문에 공격 탐지가 매우 어렵다.
이렇게 UCN2452 공격은 정당한 사용자 행동이나 공격자 행동 판별이 어렵기 때문에 공격을 받고 있는지 여부를 판별하기 어렵다. 따라서 파이어아이는 UCN2452에서 사용되는 몇 가지 행동 패턴을 확인해 UCN2452 공격을 탐지하는 응용 프로그램을 개발하고 깃허브에 무료 공개하고 있다. 관련 내용은 이곳에서 확인할 수 있다.