1사분기는 불특정다수 향한 무차별 공격 대다수... 표적형으로 바뀔까?
[보안뉴스 문가용] 이탈리아 해킹팀(Hacking Team)의 해킹 주도자가 스스로를 밝히며 해킹 과정을 상세히 설명한 것 때문에 외국 보안업계가 발칵 뒤집힌 가운데, APT 공격이 다시 주목을 받고 있다. 이미 1사분기 때 ‘불특정다수’를 향한 랜섬웨어 공격이 창궐했다면, 그 공격으로 인해 유난히 취약한 표적이 드러남에 따라 다시 사이버 범죄자들은 표적형 공격을 시 작할 것이라는 예측이 나오기도 했다. 그에 따라 현재 활발히 활동 중인 APT 단체들을 모아서 정리했다.
앵글러EK(Angler EK)
앵글러EK APT 단체가 등장한 것은 2014~2015년 즈음의 일이다. 이전 소비에트 연방 지역에서 활동하던 범죄자들로 구성되었다. 앵글러 익스플로잇 키트는 현재 개인적인 익스플로잇 공격에 가장 널리 활용되고 있는 도구로, 여기에는 테슬라크립트(Tesla Crypt), 크립트락커 등의 악성 코드들이 들어있다. 랜섬웨어 및 금융권 공격만 가능한 게 아니라 ‘사이버전’에 흔히 나타나는 스파잉 행위도 가능하게 해준다. 고차원적인 드라이브 바이 다운로드 공격도 할 수 있게 해준다.
공격 방법 : 드라이브 바이 다운로드
주요 표적 : 무작위
공격 동기 : 지하 세계에서의 사업 운영
재미있는 사실 : 앵글러EK는 대범하게도 트래픽 양이 엄청난 웹 사이트들에 자신들의 멀웨어를 올려놓는다. 가디언지라던가 레노보 고객 포털과 같은 곳 말이다.
블랙 바인(Black Vine)
블랙 바인은 2012년에 처음 만들어진 것으로 보이며, 보안업체인 시만텍(Symantec)은 베이징에 있는 IT 보안 조직인 탑섹(Topsec)과 관련이 있다고 보고 있다. 주로 워터링홀 공격 기법을 사용하며, 공격 표적이 관심을 가지고 있는 웹 사이트들을 주로 악용한다. 컴퓨터를 공격하기 위해 제로데이 취약점을 주로 익스플로잇 하며, 공격에 성공한 후에는 백도어를 열어 언제고 공격자가 드나들 수 있도록 한다.
공격 방법 : 제로데이 취약점 익스플로잇, 워터링홀 공격, 자체 개발한 멀웨어(Hurix, Sakurel, Mivast 등)
주요 표적 : 우주, 에너지, 의료 산업
공격 동기 : 사이버 스파이 행위
재미있는 사실 : 앤섬(Anthem)에서 발생했던 8천만 건의 개인정보 유출 사건이 블랙 바인의 소행인 것으로 알려져 있다.
버터플라이(Butterfly)
버터플라이가 가동하기 시작한 건 2012년의 일로 중국이 근원지인 것으로 알려져 있다. 그러나 일원들 중에 영어를 모국으로 하는 사람이 있는 것으로 시만텍은 보고 있다. 그래서 서구권 해커가 중국 시간대에 맞춰 활동하는 것이 아닐까 하는 의혹도 제기된다. 이들의 정체에 대해서는 크게 세 가지로 견해가 갈리는데, 1) 금전적인 이득을 노리는 정부기관, 2) 정부가 고용한 해커, 3) 고객이 단 하나뿐인 조직,이 바로 그것이다.
공격 방법 : 제로데이 취약점 익스플로잇, 자체 개발한 멀웨어(OSX, Pintsized, Backdoor, Jiripbot)
주요 표적 : 2013년까지는 트위터, 페이스북, 애플, MS. 점차 제약산업, 기술산업, 법조계, 석유, 광산업에까지 번져감.
공격 동기 : 사이버 스파이 행위 및 지하세계 사업 운영
재미있는 사실 : 버터플라이는 침투 구멍을 완벽하게 만들어놓고 갑자기 자취를 감추기도 한다. 공격 표적을 잘못 정했다는 듯이 말이다.
드래곤플라이(Dragonfly)
동유럽권 해커들로 보이며 2011년부터 활동했다. 주로 정부의 사주를 받아 움직이는 것으로 알려져 있다. 멀웨어의 행동패턴을 분석했을 때 주로 월요일부터 금요일에 작업을 하는 것으로 보인다. 마치 정식 직장에서 근무하는 것과 매우 유사하다. 심지어 주요 활동 시간대도 오전 9시부터 오후 6시까지다.
공격 방법 : 스팸 이메일, 워터링홀 공격, 자체 개발한 멀웨어(Trojan.Karagany, Backdoor,Oldrea)
주요 표적 : 미국과 캐나다의 방위산업과 항공산업. 유럽의 에너지 산업.
공격 동기 : 사이버 스파이 행위 및 사이버 테러
재미있는 사실 : 기술적으로나 전략적으로나 매우 뛰어난 모습을 보이는 단체다. 공격을 당하는 피해자도 가리지 않는다. 큰 기업을 공격할 때는 주로 외주업체를 통해서 한다.
가브랫(GovRAT)
영어를 모국어로 하는 개발자 몇 명이 자체적으로 멀웨어를 개발해 사용하기 시작한 것이 이 단체의 시작이다. 2015년의 일이며, 가브랫은 내부적으로 개발한 멀웨어의 이름이다. 사이버 스파이 행위에 주로 사용되며, 내부적으로 사용하는 코드네임, 즉 비밀명이기도 하다. 생긴 지 얼마 되지 않아 이렇다 할 흔적은 아직 없다.
공격 방법 : 표적형 배포(클라이언트 사이드 익스플로잇 통해)
주요 표적 : 정부, 정부기관, 군 장교, 대형 기업들
공격 동기 : 사이버 스파이 행위
재미있는 사실 : 훔친 디지털 인증서나 가짜 인증서를 활발하게 사용해 멀웨어를 숨긴다. 현대 APT 공격 대분이 이 기법을 활용한다.
폰스톰(Pawn Storm)
경제 및 정치 모든 분야에서 사이버 스파이 행위를 벌이는 악명 높은 단체로 표적도 정말 다양하다. 정부 기관은 물론 미디어의 주요 인사들까지도 모두 이들의 표적이다. 처음 세상에 드러난 건 2004년일 정도로 오래된 그룹이지만 아직까지도 이들에 대한 세세한 정보는 드러나지 않고 있다. 그래서 어디서부터 어떻게 시작되었는지, 주로 어떤 표적을 노리는지 아무도 모른다.
공격 방법 : 스피어피싱, 웹 사이트 피싱, OWA 피싱, iOS 앱 익스플로잇
주요 표적 : NATO, 정부, 군부대, 러시아 반대 그룹, 우크라이나
공격 동기 : 사이버 스파이 행위
재미있는 사실 : 폰스톰은 사용하는 툴을 주기적으로 바꿔준다. 전략과 해킹 과정 역시 자주 바꾼다. 이 때문에 폰스톰은 아직도 잡히지 않고 있다.
레진(Regin)
레진은 처음 등장한 것이 2008년으로 대규모 데이터 수집 및 첩보 수집을 벌여왔다. 대규모 투자나 든든한 후원이 없으면 불가능한 공격만을 벌이고 있다. 레진은 APT 단체 중에서도 매우 희귀한 유형으로, 레진이라는 단체를 보안업계가 발견했다는 것만으로도 굉장히 고무적이라고 할 정도다. 그럼에도 아직 레진에 대한 많은 것들이 숨겨져 있다.
공격 방법 : 장기적인 첩보 수집, 모듈화된 멀웨어, 다단계 위협
주요 표적 : 사기업에서부터 정부기관, 연구기관 등 다양
공격 동기 : 사이버 스파이 행위
재미있는 사실 : 레진은 멀웨어의 모듈화로 잘 알려진 단체로 플레이머(Flamer)나 위빌(Weevil) 등이 대표적이다. 그러나 두쿠(Duqu) 및 스턱스넷(Stuxnet)과의 유사성도 발견돼 그 둘과의 어떤 연관성이 있는 것 아닌가 하는 의혹도 제기되고 있다.
워터버그(Waterbug)
2005년부터 아직까지 활동 중인 장수 팀. 정부의 후원을 받고 있을 가능성이 매우 높으며 베놈(Venom)이라는 공격 네트워크를 사용한다. 이 베놈은 84개의 도메인(웹 사이트)로 구성되어 있다. 즉, 워터링홀 공격을 주로 한다는 이야기인데, 이 웹 사이트들은 세계 각국에 퍼져 있다. 이들의 공격에 가장 많은 웹 사이트가 동원되는 나라는 프랑스(19%), 독일(17%), 루마니아(17%), 스페이(13%) 순이다.
공격 방법 : 제로데이 취약점, 표적 이메일, 인증서 탈취, 워터링홀 공격
주요 표적 : 정부 기관, 대사관, 교육 기관 등
공격 동기 : 사이버 스파이 행위, 첩보 수집
재미있는 사실 : 2008년 약 14개월간 지속된 미국 중부사령부의 해킹 사건의 가장 유력한 범인으로 보인다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용] 이탈리아 해킹팀(Hacking Team)의 해킹 주도자가 스스로를 밝히며 해킹 과정을 상세히 설명한 것 때문에 외국 보안업계가 발칵 뒤집힌 가운데, APT 공격이 다시 주목을 받고 있다. 이미 1사분기 때 ‘불특정다수’를 향한 랜섬웨어 공격이 창궐했다면, 그 공격으로 인해 유난히 취약한 표적이 드러남에 따라 다시 사이버 범죄자들은 표적형 공격을 시 작할 것이라는 예측이 나오기도 했다. 그에 따라 현재 활발히 활동 중인 APT 단체들을 모아서 정리했다.
앵글러EK(Angler EK)
앵글러EK APT 단체가 등장한 것은 2014~2015년 즈음의 일이다. 이전 소비에트 연방 지역에서 활동하던 범죄자들로 구성되었다. 앵글러 익스플로잇 키트는 현재 개인적인 익스플로잇 공격에 가장 널리 활용되고 있는 도구로, 여기에는 테슬라크립트(Tesla Crypt), 크립트락커 등의 악성 코드들이 들어있다. 랜섬웨어 및 금융권 공격만 가능한 게 아니라 ‘사이버전’에 흔히 나타나는 스파잉 행위도 가능하게 해준다. 고차원적인 드라이브 바이 다운로드 공격도 할 수 있게 해준다.
공격 방법 : 드라이브 바이 다운로드
주요 표적 : 무작위
공격 동기 : 지하 세계에서의 사업 운영
재미있는 사실 : 앵글러EK는 대범하게도 트래픽 양이 엄청난 웹 사이트들에 자신들의 멀웨어를 올려놓는다. 가디언지라던가 레노보 고객 포털과 같은 곳 말이다.
블랙 바인(Black Vine)
블랙 바인은 2012년에 처음 만들어진 것으로 보이며, 보안업체인 시만텍(Symantec)은 베이징에 있는 IT 보안 조직인 탑섹(Topsec)과 관련이 있다고 보고 있다. 주로 워터링홀 공격 기법을 사용하며, 공격 표적이 관심을 가지고 있는 웹 사이트들을 주로 악용한다. 컴퓨터를 공격하기 위해 제로데이 취약점을 주로 익스플로잇 하며, 공격에 성공한 후에는 백도어를 열어 언제고 공격자가 드나들 수 있도록 한다.
공격 방법 : 제로데이 취약점 익스플로잇, 워터링홀 공격, 자체 개발한 멀웨어(Hurix, Sakurel, Mivast 등)
주요 표적 : 우주, 에너지, 의료 산업
공격 동기 : 사이버 스파이 행위
재미있는 사실 : 앤섬(Anthem)에서 발생했던 8천만 건의 개인정보 유출 사건이 블랙 바인의 소행인 것으로 알려져 있다.
버터플라이(Butterfly)
버터플라이가 가동하기 시작한 건 2012년의 일로 중국이 근원지인 것으로 알려져 있다. 그러나 일원들 중에 영어를 모국으로 하는 사람이 있는 것으로 시만텍은 보고 있다. 그래서 서구권 해커가 중국 시간대에 맞춰 활동하는 것이 아닐까 하는 의혹도 제기된다. 이들의 정체에 대해서는 크게 세 가지로 견해가 갈리는데, 1) 금전적인 이득을 노리는 정부기관, 2) 정부가 고용한 해커, 3) 고객이 단 하나뿐인 조직,이 바로 그것이다.
공격 방법 : 제로데이 취약점 익스플로잇, 자체 개발한 멀웨어(OSX, Pintsized, Backdoor, Jiripbot)
주요 표적 : 2013년까지는 트위터, 페이스북, 애플, MS. 점차 제약산업, 기술산업, 법조계, 석유, 광산업에까지 번져감.
공격 동기 : 사이버 스파이 행위 및 지하세계 사업 운영
재미있는 사실 : 버터플라이는 침투 구멍을 완벽하게 만들어놓고 갑자기 자취를 감추기도 한다. 공격 표적을 잘못 정했다는 듯이 말이다.
드래곤플라이(Dragonfly)
동유럽권 해커들로 보이며 2011년부터 활동했다. 주로 정부의 사주를 받아 움직이는 것으로 알려져 있다. 멀웨어의 행동패턴을 분석했을 때 주로 월요일부터 금요일에 작업을 하는 것으로 보인다. 마치 정식 직장에서 근무하는 것과 매우 유사하다. 심지어 주요 활동 시간대도 오전 9시부터 오후 6시까지다.
공격 방법 : 스팸 이메일, 워터링홀 공격, 자체 개발한 멀웨어(Trojan.Karagany, Backdoor,Oldrea)
주요 표적 : 미국과 캐나다의 방위산업과 항공산업. 유럽의 에너지 산업.
공격 동기 : 사이버 스파이 행위 및 사이버 테러
재미있는 사실 : 기술적으로나 전략적으로나 매우 뛰어난 모습을 보이는 단체다. 공격을 당하는 피해자도 가리지 않는다. 큰 기업을 공격할 때는 주로 외주업체를 통해서 한다.
가브랫(GovRAT)
영어를 모국어로 하는 개발자 몇 명이 자체적으로 멀웨어를 개발해 사용하기 시작한 것이 이 단체의 시작이다. 2015년의 일이며, 가브랫은 내부적으로 개발한 멀웨어의 이름이다. 사이버 스파이 행위에 주로 사용되며, 내부적으로 사용하는 코드네임, 즉 비밀명이기도 하다. 생긴 지 얼마 되지 않아 이렇다 할 흔적은 아직 없다.
공격 방법 : 표적형 배포(클라이언트 사이드 익스플로잇 통해)
주요 표적 : 정부, 정부기관, 군 장교, 대형 기업들
공격 동기 : 사이버 스파이 행위
재미있는 사실 : 훔친 디지털 인증서나 가짜 인증서를 활발하게 사용해 멀웨어를 숨긴다. 현대 APT 공격 대분이 이 기법을 활용한다.
폰스톰(Pawn Storm)
경제 및 정치 모든 분야에서 사이버 스파이 행위를 벌이는 악명 높은 단체로 표적도 정말 다양하다. 정부 기관은 물론 미디어의 주요 인사들까지도 모두 이들의 표적이다. 처음 세상에 드러난 건 2004년일 정도로 오래된 그룹이지만 아직까지도 이들에 대한 세세한 정보는 드러나지 않고 있다. 그래서 어디서부터 어떻게 시작되었는지, 주로 어떤 표적을 노리는지 아무도 모른다.
공격 방법 : 스피어피싱, 웹 사이트 피싱, OWA 피싱, iOS 앱 익스플로잇
주요 표적 : NATO, 정부, 군부대, 러시아 반대 그룹, 우크라이나
공격 동기 : 사이버 스파이 행위
재미있는 사실 : 폰스톰은 사용하는 툴을 주기적으로 바꿔준다. 전략과 해킹 과정 역시 자주 바꾼다. 이 때문에 폰스톰은 아직도 잡히지 않고 있다.
레진(Regin)
레진은 처음 등장한 것이 2008년으로 대규모 데이터 수집 및 첩보 수집을 벌여왔다. 대규모 투자나 든든한 후원이 없으면 불가능한 공격만을 벌이고 있다. 레진은 APT 단체 중에서도 매우 희귀한 유형으로, 레진이라는 단체를 보안업계가 발견했다는 것만으로도 굉장히 고무적이라고 할 정도다. 그럼에도 아직 레진에 대한 많은 것들이 숨겨져 있다.
공격 방법 : 장기적인 첩보 수집, 모듈화된 멀웨어, 다단계 위협
주요 표적 : 사기업에서부터 정부기관, 연구기관 등 다양
공격 동기 : 사이버 스파이 행위
재미있는 사실 : 레진은 멀웨어의 모듈화로 잘 알려진 단체로 플레이머(Flamer)나 위빌(Weevil) 등이 대표적이다. 그러나 두쿠(Duqu) 및 스턱스넷(Stuxnet)과의 유사성도 발견돼 그 둘과의 어떤 연관성이 있는 것 아닌가 하는 의혹도 제기되고 있다.
워터버그(Waterbug)
2005년부터 아직까지 활동 중인 장수 팀. 정부의 후원을 받고 있을 가능성이 매우 높으며 베놈(Venom)이라는 공격 네트워크를 사용한다. 이 베놈은 84개의 도메인(웹 사이트)로 구성되어 있다. 즉, 워터링홀 공격을 주로 한다는 이야기인데, 이 웹 사이트들은 세계 각국에 퍼져 있다. 이들의 공격에 가장 많은 웹 사이트가 동원되는 나라는 프랑스(19%), 독일(17%), 루마니아(17%), 스페이(13%) 순이다.
공격 방법 : 제로데이 취약점, 표적 이메일, 인증서 탈취, 워터링홀 공격
주요 표적 : 정부 기관, 대사관, 교육 기관 등
공격 동기 : 사이버 스파이 행위, 첩보 수집
재미있는 사실 : 2008년 약 14개월간 지속된 미국 중부사령부의 해킹 사건의 가장 유력한 범인으로 보인다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.JPG)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
