방글라데시 중앙은행 및 SWIFT 시스템에 꼭 맞는 멀웨어
8천만 달러, 고작 2바이트에 도난 당해
[보안뉴스 문가용] 지난 2월 방글라데시 은행에서 발생했던 대규모 은행털이 사건에 고도의 멀웨어가 사용된 것으로 밝혀졌다. 전문가들에 의하면 보안에 취약한 방글라데시 중앙은행의 여건에 딱 맞는 맞춤형 멀웨어라고 하며, 국제은행간통신협회(SWIFT)에서 은행에 배포하는 소프트웨어를 속이기 위해 참신한 기법을 들고 나왔다고 한다.
.jpg)
지난 2월, 아직도 밝혀지지 않은 공격자들은 방글라데시중앙은행의 크리덴셜 정보를 취득해 미국의 연방준비은행으로부터 자기들이 필리핀 및 스리랑카 등 제3국에 마련한 계좌로 합법적인 이체에 성공한 바 있다. 일부 이체에 실패했음에도 이들이 가져간 금액은 총 8천 1백만 달러로, 은행털이 역사상 최대의 금액이다.
최근 해당 사건을 조사하던 수사관들은 방글라데시 중앙은행의 시스템에서 멀웨어의 일부로 보이는 것을 발견했다. 조사관들은 이것이 대형 툴 키트의 일부라고 보고 있지만 최초 감염이 어떤 식으로 이루어졌는지에 대해서는 아직도 명확한 답변을 하고 있지 못하는 상태다. 발견 당시 멀웨어는 시스템의 정상적인 서비스인 것처럼 등록되어 있었으며, SWIFT의 소프트웨어가 설치된 환경에서 발견되었다고 했다.
이 멀웨어에 포함되어 있는 한 모듈의 기능이 특이하다고 전문가들은 밝혔다. 2바이트의 조건부 점프(jump) 명령을 아무 것도 하지 않는 명령으로 대체시키는 것이었다. 감염된 시스템 애플리케이션이 ‘멀웨어를 멈추게 하는 데에 성공했다’고 받아들이게끔 속이는 기능이었다. 또한 계좌의 잔고 기록도 조작하고 SWIFT 소프트웨어로 주고받은 메시지들도 전부 모니터링 했다.
심지어 프린터와 소프트웨어 문제를 일으키기도 했다. 방글라데시 중앙은행 측은 비승인 이체를 막는 데에 4일 가까이 걸린 게 프린터와 소프트웨어가 고장났기 때문이라고 보고한 바 있는데, 이것 역시 이 멀웨어의 짓이었던 것.
이번 사건을 조사하고 있는 BAE 시스템즈의 위협첩보 책임자 아드리안 니시(Adrian Nish)는 “이렇게 치밀하게 ‘맞춤형’으로 만들어진 멀웨어와 은행 강도 계획은 듣도 보도 못했다”며 “은행 환경에 딱 맞는 멀웨어를 만들 정도로 세밀한 노력을 기울인 강도 계획이라니, 어디서 읽어보지도, 들어본 적도 없을 정도로 새롭다”고 설명했다. 그러나 “보상으로 받을 돈의 금액을 생각했을 땐 그만큼 공 들일만 하다”고 덧붙이기도 했다.
한편 SWIFT 측은 해당 사건에 대한 책임을 일체 거부하며 “이번에 발견된 멀웨어는 SWIFT의 네트워크 및 핵심 기능에 그 어떤 영향도 끼치지 못했고, 이에 반하는 언론 보도가 있다면 사실을 왜곡하는 것”이라고 일축했다. 또한 “이번에 발견된 멀웨어가 범죄자들의 사기 행각을 숨기는 기능을 가지고 있으며, 이는 사용자의 로컬 시스템에 설치가 됨으로써 구현이 가능한 기능”이기 때문에 “로컬 시스템에서의 취약점만이 여기에 작용한 것일 수밖에 없다”고 발표했다.
하지만 방글라데시 경찰의 입장은 조금 다르다. 방글라데시 중앙은행에도 책임이 있지만 “심각한 보안 취약성을 가진” SWIFT도 완전히 무고한 건 아니라고 로이터 통신을 통해 입장을 표명한 것. “evtdiag.exe라는 파일에 숨어 있는 멀웨어 일부는 SWIFT의 메시징 인터페이스인 얼라이언스 액세스(Alliance Access)와 연동이 되도록 설계되었습니다. 세계 2천 여개 은행에서 사용하고 있는 것이죠. 그리고 이 멀웨어는 SWIFT 얼라이언스 액세스의 데이터베이스 시동, 백업, 복구, 읽기 기능과 관련이 있는 liboradb.dll이라는 모듈을 검색했습니다.”
멀웨어가 liboradb.dll 모듈을 찾아낸 후에는 어떤 일이 일어날까? “2바이트짜리 명령을 오버라이트합니다. 그러면 모든 인증 절차가 ‘성공’으로 바뀌게 됩니다. 즉 범죄자들이 마음껏 거래를 할 수 있게 되는 것이죠.” 결국 8천만 달러가 단 2바이트로 좌지우지 되었던 것.
한편 SWIFT 메시지를 모니터링하는 기능을 가진 멀웨어는 2월 6일 오전 6시까지만 기능을 수행하도록 설정이 되어 있었다. 이는 불법 탈취 사건이 벌어지고 나서 이틀 후다. “즉 멀웨어가 이번 사건만을 위해 특수 제작된 맞춤형 소프트웨어라는 뜻입니다.”
이번 사건의 수사를 돕던 한 보안전문가는 사용자 세 명의 계좌가 수상하며, 이를 조사해볼 필요가 있다고 말한 뒤 괴한들에게 납치되기도 했었다. 다행히 1주일 만에 산 채로 발견되긴 했지만 극도의 긴장 및 불안상태에 있었다고 방글라데시 경찰은 전달한 바 있다. 이번에 발견된 멀웨어에 대한 상세 내용은 BAE 시스템즈 블로그에 기술되어 있다(영문).
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
8천만 달러, 고작 2바이트에 도난 당해
[보안뉴스 문가용] 지난 2월 방글라데시 은행에서 발생했던 대규모 은행털이 사건에 고도의 멀웨어가 사용된 것으로 밝혀졌다. 전문가들에 의하면 보안에 취약한 방글라데시 중앙은행의 여건에 딱 맞는 맞춤형 멀웨어라고 하며, 국제은행간통신협회(SWIFT)에서 은행에 배포하는 소프트웨어를 속이기 위해 참신한 기법을 들고 나왔다고 한다.
지난 2월, 아직도 밝혀지지 않은 공격자들은 방글라데시중앙은행의 크리덴셜 정보를 취득해 미국의 연방준비은행으로부터 자기들이 필리핀 및 스리랑카 등 제3국에 마련한 계좌로 합법적인 이체에 성공한 바 있다. 일부 이체에 실패했음에도 이들이 가져간 금액은 총 8천 1백만 달러로, 은행털이 역사상 최대의 금액이다.
최근 해당 사건을 조사하던 수사관들은 방글라데시 중앙은행의 시스템에서 멀웨어의 일부로 보이는 것을 발견했다. 조사관들은 이것이 대형 툴 키트의 일부라고 보고 있지만 최초 감염이 어떤 식으로 이루어졌는지에 대해서는 아직도 명확한 답변을 하고 있지 못하는 상태다. 발견 당시 멀웨어는 시스템의 정상적인 서비스인 것처럼 등록되어 있었으며, SWIFT의 소프트웨어가 설치된 환경에서 발견되었다고 했다.
이 멀웨어에 포함되어 있는 한 모듈의 기능이 특이하다고 전문가들은 밝혔다. 2바이트의 조건부 점프(jump) 명령을 아무 것도 하지 않는 명령으로 대체시키는 것이었다. 감염된 시스템 애플리케이션이 ‘멀웨어를 멈추게 하는 데에 성공했다’고 받아들이게끔 속이는 기능이었다. 또한 계좌의 잔고 기록도 조작하고 SWIFT 소프트웨어로 주고받은 메시지들도 전부 모니터링 했다.
심지어 프린터와 소프트웨어 문제를 일으키기도 했다. 방글라데시 중앙은행 측은 비승인 이체를 막는 데에 4일 가까이 걸린 게 프린터와 소프트웨어가 고장났기 때문이라고 보고한 바 있는데, 이것 역시 이 멀웨어의 짓이었던 것.
이번 사건을 조사하고 있는 BAE 시스템즈의 위협첩보 책임자 아드리안 니시(Adrian Nish)는 “이렇게 치밀하게 ‘맞춤형’으로 만들어진 멀웨어와 은행 강도 계획은 듣도 보도 못했다”며 “은행 환경에 딱 맞는 멀웨어를 만들 정도로 세밀한 노력을 기울인 강도 계획이라니, 어디서 읽어보지도, 들어본 적도 없을 정도로 새롭다”고 설명했다. 그러나 “보상으로 받을 돈의 금액을 생각했을 땐 그만큼 공 들일만 하다”고 덧붙이기도 했다.
한편 SWIFT 측은 해당 사건에 대한 책임을 일체 거부하며 “이번에 발견된 멀웨어는 SWIFT의 네트워크 및 핵심 기능에 그 어떤 영향도 끼치지 못했고, 이에 반하는 언론 보도가 있다면 사실을 왜곡하는 것”이라고 일축했다. 또한 “이번에 발견된 멀웨어가 범죄자들의 사기 행각을 숨기는 기능을 가지고 있으며, 이는 사용자의 로컬 시스템에 설치가 됨으로써 구현이 가능한 기능”이기 때문에 “로컬 시스템에서의 취약점만이 여기에 작용한 것일 수밖에 없다”고 발표했다.
하지만 방글라데시 경찰의 입장은 조금 다르다. 방글라데시 중앙은행에도 책임이 있지만 “심각한 보안 취약성을 가진” SWIFT도 완전히 무고한 건 아니라고 로이터 통신을 통해 입장을 표명한 것. “evtdiag.exe라는 파일에 숨어 있는 멀웨어 일부는 SWIFT의 메시징 인터페이스인 얼라이언스 액세스(Alliance Access)와 연동이 되도록 설계되었습니다. 세계 2천 여개 은행에서 사용하고 있는 것이죠. 그리고 이 멀웨어는 SWIFT 얼라이언스 액세스의 데이터베이스 시동, 백업, 복구, 읽기 기능과 관련이 있는 liboradb.dll이라는 모듈을 검색했습니다.”
멀웨어가 liboradb.dll 모듈을 찾아낸 후에는 어떤 일이 일어날까? “2바이트짜리 명령을 오버라이트합니다. 그러면 모든 인증 절차가 ‘성공’으로 바뀌게 됩니다. 즉 범죄자들이 마음껏 거래를 할 수 있게 되는 것이죠.” 결국 8천만 달러가 단 2바이트로 좌지우지 되었던 것.
한편 SWIFT 메시지를 모니터링하는 기능을 가진 멀웨어는 2월 6일 오전 6시까지만 기능을 수행하도록 설정이 되어 있었다. 이는 불법 탈취 사건이 벌어지고 나서 이틀 후다. “즉 멀웨어가 이번 사건만을 위해 특수 제작된 맞춤형 소프트웨어라는 뜻입니다.”
이번 사건의 수사를 돕던 한 보안전문가는 사용자 세 명의 계좌가 수상하며, 이를 조사해볼 필요가 있다고 말한 뒤 괴한들에게 납치되기도 했었다. 다행히 1주일 만에 산 채로 발견되긴 했지만 극도의 긴장 및 불안상태에 있었다고 방글라데시 경찰은 전달한 바 있다. 이번에 발견된 멀웨어에 대한 상세 내용은 BAE 시스템즈 블로그에 기술되어 있다(영문).
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
