미국가안전보장국 NSA, 사이버보안 인프라 보안 기관 CISA, 연방수사국 FBI와 영국 국가사이버보안센터 NCSC가 공동으로 러시아 정보국 GRU 해커가 전 세계 정부 기관과 민간 기관에 대한 무차별 대입 공격을 계속 하고 있다고 경고했다.
NSA를 비롯한 정부 기관은 공동으로 적어도 2019년 중반부터 GRU 소속 GTsSS(85Main Special Service Center) 산하 26165부대가 쿠버네티스(Kubernetes) 클러스터를 이용해 전 세계 조직에 무차별 대입 공격을 계속하고 있다고 경고한 것. 쿠버네티스 클러스터는 컨테이너 응용 프로그램 배포와 스케일링, 관리 등을 할 수 있는 오픈소스 컨테이너 오케스트레이션 시스템이다. 쿠버네티스를 실행하는 노드 시스템 집합을 의미하는데 26165 부대는 이 쿠버네티스 클러스터에서 각종 VPN(CactusVPN, IPVanish, NordVPN, ProtonVPN, Surfshark, WorldVPN) 서비스를 통해 난독 처리를 실시하는 무차별 대입 공격을 계속하고 있다는 것이다.
GRU에 의한 구체적인 사이버 공격 절차는 먼저 쿠버네티스 클러스터에서 유효한 인증서를 결정하는 무력 공격을 실행, 입수한 인증서를 사용해 익스체인지 서버에 원격 코드 실행 취약점 등 알려진 취약점을 찔러 정부 기관이나 기업 네트워크에 침입한다. 다음으로 침입 상태를 유지하기 위해 인트라넷에 삭스(Socks) 프록시를 만드는 셸(reGeorg Web shell)을 전개하면서 다른 인증 정보를 취득하고 입수한 인증 정보를 사용해 내부 이메일 서버에 액세스한다.
26165부대는 2020년 11월부터 2021년 3월까지 VPN 서비스를 활용하지 않고 무차별 대입 공격을 했다고 한다. 이 경우에는 특정 IP 주소에서 미국 정부와 군사 조직, 정치 컨설턴트, 정당 조직, 방위 산업 계약자, 에너지 기업, 물류 기업, 싱크탱크, 고등 교육 기관, 법률 사무소, 미디어 기업 등에 대한 공격이 확인되고 있다.
NSA 등에 따르면 GTsSS 사이버 공격 부대는 APT28, 팬시베어, 스트롬티움(Strontium)으로 알려지고 있다. NSA는 2020년 8월 팬시베어로 만든 악성도구가 국가 안보를 위협하고 있다고 경고한 바 있다. 관련 내용은 이곳으로 확인할 수 있다.