- 개요
2015년부터 활동을 시작한 해킹그룹 “Armada Collective”를 지칭하는 공격자에 의한 DDoS 공격이 확인되어 주의가 필요하다.
“Armada Collective” 조직은 DDoS 공격을 예고하는 협박 메일을 발송하여 피해 기업으로부터 가상화폐를 지불할 것을 요구하는 공격조직으로 만약 피해 기업이 요구에 응하지 않을 시 DDoS 공격을 수행하는 방식을 주로 사용한다.
- 최근 동향
글로벌 보안 기업 Akamai에 따르면 이번 공격은 2020. 08. 17 피해 업체에서 협박 메일을 수신하였으며 이후 50Gbps가량의 트래픽으로 DDoS 공격을 받게 된 것으로 확인되었다. DDos 공격에 사용된 방식은 UDP 기반 ARMS 프로토콜 반사 공격으로, 반사 공격에 사용된 봇넷의 규모는 확인되지 않았다.
또한 Akamai는 이번 공격이 공격자들의 요구가 잘 이행되기 위하여 Armada Collective” 조직의 이름을 도용한 다른 공격조직일 것으로 추정하고 있다고 밝혔다.
- 유사 사례
2016년 상반기 싸이버원에서 확인된 유사한 사례가 존재한다. 해당 사례는 당시 고객사 중 한 곳에서 DDoS 공격을 감행할 것을 예고하는 E-Mail을 수신했던 경우로 확인된 E-Mail의 내용은 다음과 같다.
해당 공격 그룹은 기업의 시스템 담당자에게 DDoS 및 랜섬웨어 공격을 예고하는 이메일을 무작위로 전송하였으나, 다른 DDoS 공격 그룹 "Lizard Squad"나 "DD4BC"의 공격 방식을 모방하는 것이 특징이다. 실제 "Armada Collective" 공격 그룹은 금융권 및 IT 관련 기업에게 공격예고 이메일 전송, 공격을 중지하려면 20 비트코인(이하 BTC) 입금을 강요하는 방식을 자주 사용하며, "Armada Collective" 공격 그룹은 2015 년 11 월, 그리스의 은행 세 곳을 공격했다 주장하였으며 주로 금융권 및 보안 이메일 회사를 주 타겟으로 공격을 수행한다.
2016 년 3 월부터 "Armada Collective"를 사칭하며 BTC 입금 협박 메일을 보내는 그룹이 발견된 사례가 존재하며, 이 정체 불명의 공격 그룹은 공격 협박 이메일을 보내지만 실제 공격은 하지 않았던 것이 2016 년 4 월 말, CloudFlare 사의 조사로 알려지게 되었다.
- 대응 방안
- DDoS 대응을 위한 인력 및 장비의 준비상태를 재 점검할 것
- 자체적인 DDoS 대응 불가 시 한국인터넷진흥원 DDoS 사이버 대피소 서비스 도입 등 추가적인 대응방안을 검토할 것
[Reference]
보안관제센터 Team MIR