최근 SolarWinds Orion 플랫폼에서 악성 백도어를 통해 6개 이상의 정부기관과 아직 알려지지 않은 여러 조직들을 대상으로 한 광범위한 침입 캠페인이 발생했다. 현재 이 공격의 배후로 러시아가 지목되고 있지만, 이러한 주장에 대한 공개 증거는 현재 부족한 상황이다. 정확한 정보 분석을 위해서는 편견이 배제되어야 한다. 편견은 정책의 실수로 이어질 수 있다. 명백한 증거 없이 상대적 대응(또는 때로는 불균형 대응)에 대한 정책을 논의하는 것은 위험할 수 있다.
우리는 원점추적(attribution)과 공격자 매핑(adversary mapping)에 초점을 맞추기 위해 기존 기술을 사용하여 분석에 접근했다. 공격자의 동기와 의도에 대한 인사이트를 제공하기 위해 ITRE ATT&CK 기술 매핑, 피해 대상 조사, 시간적 징후, 히스토릭 지표의 사용을 포함한 방법론을 따랐다. 우리의 목표는 이 공격의 주체를 확정하는 것이 아니라 정보 분석을 통해 기존 데이터를 검토하고 공격자 추적에 대한 논의에 기여하는 것이다. <17p>
주요 내용
- ATT&CK 기술 분석 : 피해대상, 시간, 이력
- 행위자가 다수일 가능성
- 부록 : 주요 공격기술과의 비교