새롭게 등장한 스파이웨어를 추적하다 보니 거대한 공권력이 있었다. 다름 아니라 중국 공안이다. 이들은 자국 IT 업체를 시켜 스파이웨어를 개발하게 하고, 그것을 사용해 국민 중 누군가를 감시했던 것으로 보인다.
[보안뉴스 문정후 기자] 안드로이드 생태계에서 활동하는 새로운 멀웨어가 발견됐다. 일종의 스파이웨어인데, 놀랍게도 중국 공안들이 합법적으로 사용하고 있는 것으로 강력히 추정된다. 개발자도 중국의 한 소프트웨어 회사로 보이는 상황이라, 공안들이 특정 세력이나 단체, 개인을 감시하는 데 활용했을 가능성이 높아 보인다. 최소 2017년부터 이 스파이웨어의 활동이 있었던 것으로 분석됐다.
[이미지 = gettyimagesbank]
문제의 멀웨어는 이글메시지스파이(EagleMsgSpy)라고 한다. 피해자의 장비를 감염시킨 뒤 여러 데이터를 수집하는 것으로 조사됐다. 수집되는 데이터는 다음과 같다.
1) 서드파티 채팅 메시지(QQ, 텔레그램, 바이버, 왓츠앱, 위챗 등)
2) 화면 녹화 및 스크린샷 캡처 이미지
3) 오디오 녹음본
4) 통화 기록
5) 연락처 정보
6) 문자 메시지
7) 위치 데이터
8) 네트워크 활동 기록
이글메시지스파이?
이글메시지스파이를 처음 발견한 건 보안 업체 룩아웃(Lookout)이다. 이글메시지스파이의 존재를 파악한 뒤부터 여러 샘플을 확보하는 데 성공했다고 한다. “하지만 전부 안드로이드 환경에서 작동하는 변종들이었습니다. 그렇다고 이글메시지스파이가 안드로이드 사용자만 노리고 있다고 보기는 어렵습니다. 조사 과정에서 공격자 인프라에 있는 폴더 하나를 발견했는데, 그곳에 저장되어 있던 내부 문서에는 iOS 버전이 언급되어 있었으니까요. 아직 샘플은 없지만 어딘가에 존재하고 있을 가능성이 높습니다.”
흥미로운 건 이글메시지스파이의 전파 방식이다. 룩아웃은 여러 샘플을 발견하긴 했지만 이들이 안드로이드 스토어나 서드파티 웹사이트를 통해 전파되는 경우는 한 번도 보지 못했다고 한다. 즉 안드로이드 애플리케이션으로 위장된 패키지 형태의 파일이나, 이글메시지스파이가 호스팅 되어 있는 사이트가 없다는 것이다. “이 말은 이글메시지스파이를 사용하는 자가 물리적으로 피해자 장비에 접근해 직접 설치해야만 한다는 뜻이 됩니다. 피해자의 장비를 훔치든지 힘이나 권한으로 압수할 수 있는 자니까 가능한 방법입니다.”
샘플을 분석했을 때 룩아웃의 연구원들은 이 멀웨어가 시간에 따라 정교하게 발전하고 있음을 알 수 있었다고 한다. “배후에 있는 개발자가 꾸준히 유지 및 관리하고 있다는 걸 뜻합니다. 최신 탐지 및 분석 기술이 무엇인지, 그것을 회피하려면 어떻게 해야 하는지를 계속 연구하고 있다는 것이죠.”
피해자가 알 수 없는 상태에서 각종 데이터를 훔친 이글메시지스파이는 피해자 장비 파일 시스템 내에 숨김 폴더를 하나 마련하고, 거기에 그 데이터를 저장한다. 그런 후 데이터를 압축하되 비밀번호를 걸어두어 열람이 어렵게 만든다. “그렇게 보호된 상태에서 외부에 있는 C&C 서버로 전송됩니다. 이 서버에는 사용자 인증이 필요한 관리 패널이 호스팅 되어 있습니다. 이 관리 패널은 앵귤러JS(AngularJS)라는 프레임워크를 기반으로 하고 있으며, API로의 접근을 허용하지 않습니다.” 하지만 룩아웃은 여러 번의 분석과 시도 끝에 이 접근에 성공했다고 한다.
“소스코드는 기기 플랫폼, 즉 안드로이드와 iOS를 구별하는 여러 기능을 포함하고 있었습니다. 이 역시 이글메시지스파이의 iOS 버전이 존재하고 있을 가능성이 높다는 걸 보여줍니다. 하지만 아직까지 iOS 버전의 샘플을 찾아내는 데에는 실패했습니다.” 대신 룩아웃은 두 개의 문서를 찾았는데, 하나는 관리 패널을 사용하는 방법에 대한 안내서이고 다른 하나는 이글메시지스파이 감시 클라이언트를 설치하고 구성하는 방법에 대한 설명서입니다.
설명서가 있다는 건 이 멀웨어를 개발한 사람이 자신들이 직접 사용하는 게 아니라 특정 고객을 염두에 두고 있었다는 뜻이 된다. 실제로 멀웨어로 사업을 하는 다크웹의 해커들의 경우 자신들이 만든 해킹 도구에 대한 사용설명서와 튜토리얼을 제작해 배포하기도 한다. 한 마디로 고객을 유치하거나 고객을 배려하는 장치라는 뜻이다. “설명서는 중국어로 작성되어 있습니다. 피해자가 알지 못하는 상태에서 뭘 설치하고 어떤 정보를 빼돌릴 수 있는지도 설명되어 있고요.”
누가 만들었고, 누가 사용하나
룩아웃 측은 위에서 언급된 공격자 인프라를 통해 수상한 하위 도메인 역시 발견했다고 한다. 우한차이나소프트토큰정보기술(Wuhan Chinasoft Token Information Technology)라는 기업과 관련된 도메인들로 연결되어 있었다. “어떤 도메인은 이 회사의 홍보 자료에 언급되어 있기도 했습니다. 즉 저희가 조사했을 때도 그렇고 OSINT와 대조했을 때에도 그렇고 우한차이나소프트토큰정보기술이라는 회사와의 접점이 발견됐다는 것이죠. 일부 도메인의 문자열은 잘 알려진 감시 모듈의 일부 버전에서도 발견된 적이 있습니다.”
참고로 이 회사의 이름은 여러 가지인 것으로 조사됐는데, 우한차이나소프트토큰정보기술을 제외하면 다음과 같다.
1) 등록된 공식 영어 이름 : Wuhan Zhongruan Tongzheng Information Technology Co., Ltd.
2) 주소에 등록된 중국어 이름 : 武汉市东湖新技术开发区(우한동호신기술개발구)
3) 일부 홍보 자료에 나온 이름 : Wuhan ZRTZ Information Technology Co., Ltd.
또한 사용자들을 위한 매뉴얼에는 스크린샷 이미지도 있었는데, 여기에는 테스트 기기로 추정되는 대상 장비의 위치가 표시되어 있었습니다. 우한차이나소프트토큰정보기술의 공식 사업장 주소로부터 약 1.5km 떨어진 지점 두 군데였다. 고객에게 테스트 기기를 제공했을 리 없으니 이 두 지점 모두 우한차이나소프트토큰정보기술과 관련이 있는 곳일 가능성이 높았고, 실제 조사해보니 해당 기업과의 연결성을 찾을 수 있었다고 룩아웃은 설명한다.
“그런데 진짜 놀라웠던 건 이글메시지스파이의 C&C 서버와 중국 공안국 도메인이 일부 겹친다는 거였습니다. 즉 이 스파이웨어의 주요 사용자가 다름 아니라 중국 공안이라는 걸 시사합니다.” 타임스탬프가 2017년으로 찍혀 있는 이글메시지스파이 초기 버전에는 C&C 주소가 하드코딩 되어 있기도 한데, 두 개의 중국 정부 웹사이트에 할당된 주소와 동일한 것으로 분석된 것을 의미하는 설명이다. “그 때부터 지금까지 중국 공안들이 이 스파이웨어를 널리 사용하고 있었던 것으로 추정됩니다.”
IP주소를 추적하는 와중에 등장한 주요 공안 웹사이트들은 다음과 같다.
1) 연대 공안국 지푸지부
2) 연대 공안국 본부
3) 귀양 공안국
4) 연대 개발구 공안국
5) 덩펑 공안국
게다가 룩아웃은 정부 사업 입찰 문서에서 이글메시지스파이 C&C 서버 패널과 동일한 이름을 가진 시스템에 대한 입찰 건을 발견하기도 했었다. “여러 정황 상 이 스파이웨어의 주요 사용자가 정부 기관, 특히 공안들이었던 것을 강력히 추정할 수 있습니다.”
3줄 요약
1. 안드로이드 생태계에서 처음 보이는 멀웨어가 나타남.
2. 중국 소프트웨어 업체가 개발해 중국 공안에 공급하던 것으로 보임.
3. iOS 샘플이 발견되지는 않았으나 어딘가 존재할 가능성이 높음.
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 안드로이드 생태계에서 활동하는 새로운 멀웨어가 발견됐다. 일종의 스파이웨어인데, 놀랍게도 중국 공안들이 합법적으로 사용하고 있는 것으로 강력히 추정된다. 개발자도 중국의 한 소프트웨어 회사로 보이는 상황이라, 공안들이 특정 세력이나 단체, 개인을 감시하는 데 활용했을 가능성이 높아 보인다. 최소 2017년부터 이 스파이웨어의 활동이 있었던 것으로 분석됐다.
[이미지 = gettyimagesbank]
문제의 멀웨어는 이글메시지스파이(EagleMsgSpy)라고 한다. 피해자의 장비를 감염시킨 뒤 여러 데이터를 수집하는 것으로 조사됐다. 수집되는 데이터는 다음과 같다.
1) 서드파티 채팅 메시지(QQ, 텔레그램, 바이버, 왓츠앱, 위챗 등)
2) 화면 녹화 및 스크린샷 캡처 이미지
3) 오디오 녹음본
4) 통화 기록
5) 연락처 정보
6) 문자 메시지
7) 위치 데이터
8) 네트워크 활동 기록
이글메시지스파이?
이글메시지스파이를 처음 발견한 건 보안 업체 룩아웃(Lookout)이다. 이글메시지스파이의 존재를 파악한 뒤부터 여러 샘플을 확보하는 데 성공했다고 한다. “하지만 전부 안드로이드 환경에서 작동하는 변종들이었습니다. 그렇다고 이글메시지스파이가 안드로이드 사용자만 노리고 있다고 보기는 어렵습니다. 조사 과정에서 공격자 인프라에 있는 폴더 하나를 발견했는데, 그곳에 저장되어 있던 내부 문서에는 iOS 버전이 언급되어 있었으니까요. 아직 샘플은 없지만 어딘가에 존재하고 있을 가능성이 높습니다.”
흥미로운 건 이글메시지스파이의 전파 방식이다. 룩아웃은 여러 샘플을 발견하긴 했지만 이들이 안드로이드 스토어나 서드파티 웹사이트를 통해 전파되는 경우는 한 번도 보지 못했다고 한다. 즉 안드로이드 애플리케이션으로 위장된 패키지 형태의 파일이나, 이글메시지스파이가 호스팅 되어 있는 사이트가 없다는 것이다. “이 말은 이글메시지스파이를 사용하는 자가 물리적으로 피해자 장비에 접근해 직접 설치해야만 한다는 뜻이 됩니다. 피해자의 장비를 훔치든지 힘이나 권한으로 압수할 수 있는 자니까 가능한 방법입니다.”
샘플을 분석했을 때 룩아웃의 연구원들은 이 멀웨어가 시간에 따라 정교하게 발전하고 있음을 알 수 있었다고 한다. “배후에 있는 개발자가 꾸준히 유지 및 관리하고 있다는 걸 뜻합니다. 최신 탐지 및 분석 기술이 무엇인지, 그것을 회피하려면 어떻게 해야 하는지를 계속 연구하고 있다는 것이죠.”
피해자가 알 수 없는 상태에서 각종 데이터를 훔친 이글메시지스파이는 피해자 장비 파일 시스템 내에 숨김 폴더를 하나 마련하고, 거기에 그 데이터를 저장한다. 그런 후 데이터를 압축하되 비밀번호를 걸어두어 열람이 어렵게 만든다. “그렇게 보호된 상태에서 외부에 있는 C&C 서버로 전송됩니다. 이 서버에는 사용자 인증이 필요한 관리 패널이 호스팅 되어 있습니다. 이 관리 패널은 앵귤러JS(AngularJS)라는 프레임워크를 기반으로 하고 있으며, API로의 접근을 허용하지 않습니다.” 하지만 룩아웃은 여러 번의 분석과 시도 끝에 이 접근에 성공했다고 한다.
“소스코드는 기기 플랫폼, 즉 안드로이드와 iOS를 구별하는 여러 기능을 포함하고 있었습니다. 이 역시 이글메시지스파이의 iOS 버전이 존재하고 있을 가능성이 높다는 걸 보여줍니다. 하지만 아직까지 iOS 버전의 샘플을 찾아내는 데에는 실패했습니다.” 대신 룩아웃은 두 개의 문서를 찾았는데, 하나는 관리 패널을 사용하는 방법에 대한 안내서이고 다른 하나는 이글메시지스파이 감시 클라이언트를 설치하고 구성하는 방법에 대한 설명서입니다.
설명서가 있다는 건 이 멀웨어를 개발한 사람이 자신들이 직접 사용하는 게 아니라 특정 고객을 염두에 두고 있었다는 뜻이 된다. 실제로 멀웨어로 사업을 하는 다크웹의 해커들의 경우 자신들이 만든 해킹 도구에 대한 사용설명서와 튜토리얼을 제작해 배포하기도 한다. 한 마디로 고객을 유치하거나 고객을 배려하는 장치라는 뜻이다. “설명서는 중국어로 작성되어 있습니다. 피해자가 알지 못하는 상태에서 뭘 설치하고 어떤 정보를 빼돌릴 수 있는지도 설명되어 있고요.”
누가 만들었고, 누가 사용하나
룩아웃 측은 위에서 언급된 공격자 인프라를 통해 수상한 하위 도메인 역시 발견했다고 한다. 우한차이나소프트토큰정보기술(Wuhan Chinasoft Token Information Technology)라는 기업과 관련된 도메인들로 연결되어 있었다. “어떤 도메인은 이 회사의 홍보 자료에 언급되어 있기도 했습니다. 즉 저희가 조사했을 때도 그렇고 OSINT와 대조했을 때에도 그렇고 우한차이나소프트토큰정보기술이라는 회사와의 접점이 발견됐다는 것이죠. 일부 도메인의 문자열은 잘 알려진 감시 모듈의 일부 버전에서도 발견된 적이 있습니다.”
참고로 이 회사의 이름은 여러 가지인 것으로 조사됐는데, 우한차이나소프트토큰정보기술을 제외하면 다음과 같다.
1) 등록된 공식 영어 이름 : Wuhan Zhongruan Tongzheng Information Technology Co., Ltd.
2) 주소에 등록된 중국어 이름 : 武汉市东湖新技术开发区(우한동호신기술개발구)
3) 일부 홍보 자료에 나온 이름 : Wuhan ZRTZ Information Technology Co., Ltd.
또한 사용자들을 위한 매뉴얼에는 스크린샷 이미지도 있었는데, 여기에는 테스트 기기로 추정되는 대상 장비의 위치가 표시되어 있었습니다. 우한차이나소프트토큰정보기술의 공식 사업장 주소로부터 약 1.5km 떨어진 지점 두 군데였다. 고객에게 테스트 기기를 제공했을 리 없으니 이 두 지점 모두 우한차이나소프트토큰정보기술과 관련이 있는 곳일 가능성이 높았고, 실제 조사해보니 해당 기업과의 연결성을 찾을 수 있었다고 룩아웃은 설명한다.
“그런데 진짜 놀라웠던 건 이글메시지스파이의 C&C 서버와 중국 공안국 도메인이 일부 겹친다는 거였습니다. 즉 이 스파이웨어의 주요 사용자가 다름 아니라 중국 공안이라는 걸 시사합니다.” 타임스탬프가 2017년으로 찍혀 있는 이글메시지스파이 초기 버전에는 C&C 주소가 하드코딩 되어 있기도 한데, 두 개의 중국 정부 웹사이트에 할당된 주소와 동일한 것으로 분석된 것을 의미하는 설명이다. “그 때부터 지금까지 중국 공안들이 이 스파이웨어를 널리 사용하고 있었던 것으로 추정됩니다.”
IP주소를 추적하는 와중에 등장한 주요 공안 웹사이트들은 다음과 같다.
1) 연대 공안국 지푸지부
2) 연대 공안국 본부
3) 귀양 공안국
4) 연대 개발구 공안국
5) 덩펑 공안국
게다가 룩아웃은 정부 사업 입찰 문서에서 이글메시지스파이 C&C 서버 패널과 동일한 이름을 가진 시스템에 대한 입찰 건을 발견하기도 했었다. “여러 정황 상 이 스파이웨어의 주요 사용자가 정부 기관, 특히 공안들이었던 것을 강력히 추정할 수 있습니다.”
3줄 요약
1. 안드로이드 생태계에서 처음 보이는 멀웨어가 나타남.
2. 중국 소프트웨어 업체가 개발해 중국 공안에 공급하던 것으로 보임.
3. iOS 샘플이 발견되지는 않았으나 어딘가 존재할 가능성이 높음.
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
