통신사를 직접 해킹함으로써 자신들이 원하는 표적을 모니터링 한 고급 공격 단체의 존재가 드러났다. 이름은 라이트베이진이라고 하는데, 최소 2016년부터 활동을 해온 것으로 알려져 있다. 기술이 뛰어나 전 세계적인 위협으로 부각될 만하다고 한다.
[보안뉴스 문가용 기자] 고급 기술을 가진 해킹 단체가 전 세계 통신사들을 겨냥해 공격해 온 사실이 드러났다. 공격 도구들도 자체적으로 제작해온 것으로 밝혀졌는데, 이 도구들을 분석하니 통신사 프로토콜에 대한 공격자들의 지식이 상당 수준이라는 것이 잘 보인다고 한다. 보안 업체 크라우드스트라이크(CrowdStrike)가 이들의 뒤를 캤다.
[이미지 = utoimage]
이 실력 좋은 그룹에 크라우드스크라이크는 라이트베이진(LightBasin)이라는 이름을 붙였다. 2016년부터 통신사들을 겨냥한 표적 공격을 일삼아 온 단체라고 한다. 여태까지 밝혀진 것만 2016년이지 그 전부터 활동해왔을 가능성도 낮지 않다. 현재까지 최소 13개의 통신망을 침해하는 데 성공한 것으로 보이며 앞으로도 비슷한 활동을 이어갈 가능성이 높다고 크라우드스트라이크는 보고 있다.
“라이트베이진은 꽤나 높은 실력을 가진 단체입니다. 표적에 따라 맞춤형 도구를 스스로 제작해 활용할 줄 압니다.” 크라우드스트라이크의 부회장인 아담 메이어스(Adam Meyers)의 설명이다. “이들의 맞춤형 공격 도구들은 대부분 첩보를 수집하는 데 특화되어 있습니다. IMSI 데이터, 통화 관련 메타데이터 등이 이들이 원하는 주요 첩보고, 그 외에 문자 메시지 수집도 한 적이 있습니다. 자신들이 표적으로 삼은 인물을 정확히 찾아낼 수 있는 단체입니다.”
라이트베이진은 통신사 자체를 공략하기 때문에 각 개인에게 맞는 스파이 도구를 사용할 필요가 없다. “표적을 찾아서 모바일에 스파이웨어 같은 걸 심을 필요가 전혀 없습니다.” 이들이 노리는 표적들은 중국 국익에 위배가 되는 사람들로, 중국 정부가 요주의 하여 모니터링 할 만한 단체나 인물들인 것으로 분석됐다. 라이트베이진이 중국의 해커 단체일 가능성이 높아 보인다. 하지만 아직 확정 지을 단계는 아니다.
크라우드스트라이크는 “현재 집중해야 할 건 라이트베이진이 가진 통신 시스템 관련 지식”이라고 말한다. “통신사가 어떤 구조를 가지고 있고 어떤 프로토콜로 운영되는지를 깊이 이해하고 있는 것으로 보입니다. 통신사의 고유 프로토콜을 가지고도 C&C 통신을 하던 사례도 있었을 정도였습니다. 외부 DNS 서버들을 통해 통신사에 최초 침투하기도 했었고, 이미 침해한 통신사의 GPRS 네트워크를 활용해 사용자에게 접근하기도 했습니다.”
크라우드스트라이크가 현재까지 찾아낸 라이트베이진의 도구 중에는 코드스캔(CordScan)이라는 것이 있다. 네트워크를 스캔하고 패킷을 캡처하는 유틸리티라고 한다. 라이트베이진은 코드스캔을 통해 다양한 모바일 장비들을 핑거프린팅할 수 있었다고 크라우드스트라이크는 분석하고 있다. 또 다른 도구로는 시그트랜슬레이터(SIGTRANslator)라는 것이 있다. 통신사 프로토콜 중 하나인 시그트랜(SIGTRAN)을 통해 데이터를 전송하는 기능을 가지고 있다.
라이트베이진은 오픈소스 도구들도 활용할 줄 안다. 패스트 리버스 프록시(Fast Reverse Proxy), 마이크로속스 프록시(Microsocks Proxy), 프록시체인즈(ProxyChains) 등이 대표적인데, 주로 eDNS서버들을 모니터링하고, 내부 시스템 내에서 이동하며, 네트워크 트래픽을 특정 프록시 시스템으로 강제 우회시키는 데 활용한다.
이렇게 다양한 기술과 도구를 활용해 통신사 네트워크에 침투하는 데 성공한 라이트베이진은 리눅스와 솔라리스 서버들에 멀웨어를 심는 것으로 이어진다. 리눅스 서버와 솔라리스 서버는 거의 모든 통신사들이 갖추고 있다. 이 단계에서 라이트베이진이 특히 집중하는 건 GPRS 네트워크 내에 존재하는 시스템들이다. 외부 DNS 시스템, 서비스 배포 플랫폼, SIM이나 IMEI에 활용되는 시스템 등이 여기에 포함된다.
크라우드스트라이크는 “라이트베이진은 전 세계의 문젯거리 혹은 위협이라고 봐도 충분할 정도로 위험한 존재”라고 말한다. 크라우드스트라이크는 2019년부터 라이트베이진을 추적하고 있었는데 이번 주에야 이들의 존재를 알린 이유는 이들에 대한 정보가 그 동안 충분치 않았기 때문이라고 한다. “지금은 표적이 되고 있는 조직들이 어떤 식으로 방어를 해야 하는지도 실질적으로 알려줄 수 있고, 그 방법을 알린 상태입니다.”
3줄 요약
1. 전 세계 통신사 13곳을 침해한 중국 APT 그룹, 라이트베이진.
2. 통신 시스템에 대한 깊은 이해도를 갖춘 고급 해킹 단체.
3. 전 세계적인 위협으로 간주하고 이들의 도청 행위 막아야 함.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 고급 기술을 가진 해킹 단체가 전 세계 통신사들을 겨냥해 공격해 온 사실이 드러났다. 공격 도구들도 자체적으로 제작해온 것으로 밝혀졌는데, 이 도구들을 분석하니 통신사 프로토콜에 대한 공격자들의 지식이 상당 수준이라는 것이 잘 보인다고 한다. 보안 업체 크라우드스트라이크(CrowdStrike)가 이들의 뒤를 캤다.
[이미지 = utoimage]
이 실력 좋은 그룹에 크라우드스크라이크는 라이트베이진(LightBasin)이라는 이름을 붙였다. 2016년부터 통신사들을 겨냥한 표적 공격을 일삼아 온 단체라고 한다. 여태까지 밝혀진 것만 2016년이지 그 전부터 활동해왔을 가능성도 낮지 않다. 현재까지 최소 13개의 통신망을 침해하는 데 성공한 것으로 보이며 앞으로도 비슷한 활동을 이어갈 가능성이 높다고 크라우드스트라이크는 보고 있다.
“라이트베이진은 꽤나 높은 실력을 가진 단체입니다. 표적에 따라 맞춤형 도구를 스스로 제작해 활용할 줄 압니다.” 크라우드스트라이크의 부회장인 아담 메이어스(Adam Meyers)의 설명이다. “이들의 맞춤형 공격 도구들은 대부분 첩보를 수집하는 데 특화되어 있습니다. IMSI 데이터, 통화 관련 메타데이터 등이 이들이 원하는 주요 첩보고, 그 외에 문자 메시지 수집도 한 적이 있습니다. 자신들이 표적으로 삼은 인물을 정확히 찾아낼 수 있는 단체입니다.”
라이트베이진은 통신사 자체를 공략하기 때문에 각 개인에게 맞는 스파이 도구를 사용할 필요가 없다. “표적을 찾아서 모바일에 스파이웨어 같은 걸 심을 필요가 전혀 없습니다.” 이들이 노리는 표적들은 중국 국익에 위배가 되는 사람들로, 중국 정부가 요주의 하여 모니터링 할 만한 단체나 인물들인 것으로 분석됐다. 라이트베이진이 중국의 해커 단체일 가능성이 높아 보인다. 하지만 아직 확정 지을 단계는 아니다.
크라우드스트라이크는 “현재 집중해야 할 건 라이트베이진이 가진 통신 시스템 관련 지식”이라고 말한다. “통신사가 어떤 구조를 가지고 있고 어떤 프로토콜로 운영되는지를 깊이 이해하고 있는 것으로 보입니다. 통신사의 고유 프로토콜을 가지고도 C&C 통신을 하던 사례도 있었을 정도였습니다. 외부 DNS 서버들을 통해 통신사에 최초 침투하기도 했었고, 이미 침해한 통신사의 GPRS 네트워크를 활용해 사용자에게 접근하기도 했습니다.”
크라우드스트라이크가 현재까지 찾아낸 라이트베이진의 도구 중에는 코드스캔(CordScan)이라는 것이 있다. 네트워크를 스캔하고 패킷을 캡처하는 유틸리티라고 한다. 라이트베이진은 코드스캔을 통해 다양한 모바일 장비들을 핑거프린팅할 수 있었다고 크라우드스트라이크는 분석하고 있다. 또 다른 도구로는 시그트랜슬레이터(SIGTRANslator)라는 것이 있다. 통신사 프로토콜 중 하나인 시그트랜(SIGTRAN)을 통해 데이터를 전송하는 기능을 가지고 있다.
라이트베이진은 오픈소스 도구들도 활용할 줄 안다. 패스트 리버스 프록시(Fast Reverse Proxy), 마이크로속스 프록시(Microsocks Proxy), 프록시체인즈(ProxyChains) 등이 대표적인데, 주로 eDNS서버들을 모니터링하고, 내부 시스템 내에서 이동하며, 네트워크 트래픽을 특정 프록시 시스템으로 강제 우회시키는 데 활용한다.
이렇게 다양한 기술과 도구를 활용해 통신사 네트워크에 침투하는 데 성공한 라이트베이진은 리눅스와 솔라리스 서버들에 멀웨어를 심는 것으로 이어진다. 리눅스 서버와 솔라리스 서버는 거의 모든 통신사들이 갖추고 있다. 이 단계에서 라이트베이진이 특히 집중하는 건 GPRS 네트워크 내에 존재하는 시스템들이다. 외부 DNS 시스템, 서비스 배포 플랫폼, SIM이나 IMEI에 활용되는 시스템 등이 여기에 포함된다.
크라우드스트라이크는 “라이트베이진은 전 세계의 문젯거리 혹은 위협이라고 봐도 충분할 정도로 위험한 존재”라고 말한다. 크라우드스트라이크는 2019년부터 라이트베이진을 추적하고 있었는데 이번 주에야 이들의 존재를 알린 이유는 이들에 대한 정보가 그 동안 충분치 않았기 때문이라고 한다. “지금은 표적이 되고 있는 조직들이 어떤 식으로 방어를 해야 하는지도 실질적으로 알려줄 수 있고, 그 방법을 알린 상태입니다.”
3줄 요약
1. 전 세계 통신사 13곳을 침해한 중국 APT 그룹, 라이트베이진.
2. 통신 시스템에 대한 깊은 이해도를 갖춘 고급 해킹 단체.
3. 전 세계적인 위협으로 간주하고 이들의 도청 행위 막아야 함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
