파이어아이연구소는 러시아 정부와 연관성이 높은 사이버 스파이 그룹 APT28에 대한 분석 보고서를 자사 블로그에 게재했다.
(http://www.fireeye.com/blog/technical/2014/10/apt28-a-window-into-russias-cyber-espionage-operations.html)
블로그에 따르면 APT28이 배포하는 악성코드와 이들이 타깃하는 조직을 바탕으로 분석했을 때 러시아 정부의 이익을 위해 최소 2007년부터 사이버 스파이 활동을 해온 것으로 평가된다.
APT28의 주요 타깃은 정부와 군사시설인 것으로 보이며, 러시아 정부를 위해 활동하는 이 그룹은 코카서스의 조지아, 동부 유럽의 정부 및 군대, 유럽 보안 조직 등을 타깃으로 삼았다.
멘디언트가 밝힌 APT1그룹의 경우, 주요 방위, 항공 우주, 에너지, 제조기업 등 지적재산권과 같은 영업 비밀을 훔치는 중국 군대의 구성원으로 추정했다. 파이어아이는 이들을 ‘경제 스파이(economic espionage)’라고 정의하며, 중국의 국가 산업을 위해 활동한다고 예상했다.
반면 APT28은 정치 및 군사적 성격의 정보를 빼내는데 집중하는 것으로 나타났다. 이들은 ‘정치 스파이(state espionage)’에 더 가까우며, 정책 방향과 군사 능력에 대한 정보를 빼내 해당 정부에 이득을 줄 가능성이 크다.
APT28은 일반적으로 소파시(Sofacy)라고 불리는 툴을 사용했으며, 2007년부터 꾸준히 발전돼왔다. 악성코드 개발자는 모스크바와 상트페테르부르크 등 러시아 주요 도시의 업무 시간에(러시아 주요 도시 표준시간대 기준) 일관적으로 일을 하고 있으며, 러시아 언어 설정을 사용하고 있는 것을 알아냈다.
파이어아이 관계자는 “APT1 그룹에 이어, 러시아의 후원을 받고 있는 것으로 보이는 APT28에 대한 내용을 밝히며, 점점 조직화 되고 있는 APT공격을 막기 위해 주의를 기울이고 있다. 나아가 APT 공격에 대한 국가적 차원의 방어시스템 마련을 위한 차별화된 준비를 진행할 계획이다”라고 말했다.
