폰스톰, 지난 하반기 동안 활동량 크게 늘려...올림픽 단체 공격
소셜 엔지니어링 기반한 탄탄한 기본기가 무서운 팀...모방자들도 많을 것
[보안뉴스 문가용 기자] 러시아의 사이버 스파이 그룹이라고 알려진 팬시 베어(Fancy Bear)가 2017년 하반기 동안 활발하게 세계 여러 정치적 기관들을 공격한 것으로 밝혀졌다. 팬시 베어는 APT28, 폰스톰(Pawn Storm), 소파시(Sofacy), 그룹 74(Group 74), 세드닛(Sednit), 차르 팀(Tsar Team), 스트론티움(Strontium)이라고 불린다.
.jpg)
[이미지 = iclickart]
팬시 베어는 2015년부터 활동해왔으며 프랑스, 독일, 몬테네그로, 터키, 우크라이나, 미국을 주로 공격해왔다. 보안 업체 트렌드 마이크로(Trend Micro)에 의하면 2017년 하반기에도 이러한 활동은 계속되어 왔으며, 이전보다 더 방어하기가 힘들어졌다고 한다.
트렌드 마이크로는 폰스톰에 대해 “소셜 엔지니어링에 특화되어 있으며, 다양한 툴셋을 보유하고 있다”고 설명한다. 또한 “지난 한 해 활발한 활동을 하긴 했지만 기술적인 혁신을 이끌어내진 못한 것으로 보인다”고도 말한다. 이는 폰스톰이 게을렀다거나 문제가 있었다는 게 아니라, 이미 기존의 방법으로도 충분히 공격을 성공시킬 수 있다는 뜻이다.
2017년 후반 폰스톰은 활발히 공격해 뭘 얻어냈을까? “스피어피싱과 피싱 공격을 통해 크리덴셜을 취득하는 데에 많은 힘을 썼습니다. 8월과 9월에는 야후 사용자들을 겨냥해 탭내빙(tabnabbing) 공격을 하기도 했고요. 탭내빙이란 브라우저 탭을 조작해 피싱 사이트로 연결하는 방식의 공격 방법입니다.”
특별히 지난 6개월 동안에 폰스톰이 공략한 조직들은 국제 올림픽 동계스포츠 연합 산하의 기구들로 유럽아이스하키연합, 국제스키연합, 국제바이애슬론연합, 국제봅슬레이스켈레톤연합, 국제루지연합 등이다. 트렌드 마이크로는 “러시아의 선수들 일부가 영구제명된 사건과 관련이 있는 것으로 보인다”고 분석한다. “최근 IOC 위원들 일부와 올림픽과 관련된 특정 개인들 사이에 오간 이메일이 유출된 바 있는데, 이 역시 폰스톰의 짓이라고 여겨집니다.”
또한 작년 5월 이란에서 대통령 선거가 있기 하루 전, chmail.ir 웹메일 사용자들은(대부분 정치인 혹은 정치 활동을 벌이는 사람들이다) 크리덴셜 피싱 이메일 공격을 받았다. 이러한 일은 세계 곳곳에서 발생했으며, 정치적인 목적을 가진 자들의 소행일 가능성이 매우 높다. 역시나 폰스톰이 의심되는 부분이다.
6월에는 폰스톰이 미국 하원의 액티브 디렉토리 연합 서비스(Active Directory Federation Services)를 흉내 낸 사이트를 만들어 피싱 공격을 하기도 했다. 가을에는 오픈소스 정보를 활용한 기자 집단인 벨링캣(Bellingcat)을 공격하기 위해 구글의 블로그스팟(Blogspot) 서비스를 어뷰징하기도 했다.
NATO 산하의 사이버방어협력센터(CCDCOE)가 조직하는 사이콘 US(CyCon U.S.)과 관련된 개인이나 단체, 웨스트포인트(West Point)의 아미 사이버 인스티튜트(Army Cyber Institute)와 관련이 있든 개인과 단체 역시 폰스톰의 표적이었다.
앞으로도 폰스톰은 정치 혹은 외교 방면에 있는 조직들을 겨냥해 계속해서 공격할 것으로 보인다. 특히 폰스톰이 주로 실시하는 소셜 엔지니어링 공격이 다양한 SNS 플랫폼에서 나타날 것이 거의 분명하다고 트렌드 마이크로는 예측한다.
“가짜뉴스를 퍼트리고 기밀 자료를 폭로하는 등의 활동이 이어질 겁니다. 이는 악성 행위자들에게 있어 강력한 공격 전략이 되어가고 있습니다. 이러한 공격이 ‘비기술적’으로 보이며, 일견 사기의 일종에 보이지만, 전문적으로 공격 표적에 대한 정찰과 관찰, 감시, 학습 활동이 뒷받침되기 때문에 가능한 겁니다. 어떻게 보면 ‘공격’이란 행위의 기본기가 탄탄해야 가능한 작전인 것이죠. 그래서 폰스톰이 무서운 겁니다.”
또 이러한 폰스톰의 공격 기법을 흉내 낸 공격들도 이어질 것이라고 트렌드 마이크로는 내다보고 있다. “사이버 범죄자나 해커들은 자신의 정체를 감추기 위해서, 혹은 새로운 기법을 익히기 위해서 모방을 활발히 하는 편입니다. 특히 동계 올림픽이 다가오고 있어 이러한 악성 행위들이 더 늘어날 것으로 보입니다.”
[국제부 문가용 기자(globoan@boannews.com)]
소셜 엔지니어링 기반한 탄탄한 기본기가 무서운 팀...모방자들도 많을 것
[보안뉴스 문가용 기자] 러시아의 사이버 스파이 그룹이라고 알려진 팬시 베어(Fancy Bear)가 2017년 하반기 동안 활발하게 세계 여러 정치적 기관들을 공격한 것으로 밝혀졌다. 팬시 베어는 APT28, 폰스톰(Pawn Storm), 소파시(Sofacy), 그룹 74(Group 74), 세드닛(Sednit), 차르 팀(Tsar Team), 스트론티움(Strontium)이라고 불린다.
[이미지 = iclickart]
팬시 베어는 2015년부터 활동해왔으며 프랑스, 독일, 몬테네그로, 터키, 우크라이나, 미국을 주로 공격해왔다. 보안 업체 트렌드 마이크로(Trend Micro)에 의하면 2017년 하반기에도 이러한 활동은 계속되어 왔으며, 이전보다 더 방어하기가 힘들어졌다고 한다.
트렌드 마이크로는 폰스톰에 대해 “소셜 엔지니어링에 특화되어 있으며, 다양한 툴셋을 보유하고 있다”고 설명한다. 또한 “지난 한 해 활발한 활동을 하긴 했지만 기술적인 혁신을 이끌어내진 못한 것으로 보인다”고도 말한다. 이는 폰스톰이 게을렀다거나 문제가 있었다는 게 아니라, 이미 기존의 방법으로도 충분히 공격을 성공시킬 수 있다는 뜻이다.
2017년 후반 폰스톰은 활발히 공격해 뭘 얻어냈을까? “스피어피싱과 피싱 공격을 통해 크리덴셜을 취득하는 데에 많은 힘을 썼습니다. 8월과 9월에는 야후 사용자들을 겨냥해 탭내빙(tabnabbing) 공격을 하기도 했고요. 탭내빙이란 브라우저 탭을 조작해 피싱 사이트로 연결하는 방식의 공격 방법입니다.”
특별히 지난 6개월 동안에 폰스톰이 공략한 조직들은 국제 올림픽 동계스포츠 연합 산하의 기구들로 유럽아이스하키연합, 국제스키연합, 국제바이애슬론연합, 국제봅슬레이스켈레톤연합, 국제루지연합 등이다. 트렌드 마이크로는 “러시아의 선수들 일부가 영구제명된 사건과 관련이 있는 것으로 보인다”고 분석한다. “최근 IOC 위원들 일부와 올림픽과 관련된 특정 개인들 사이에 오간 이메일이 유출된 바 있는데, 이 역시 폰스톰의 짓이라고 여겨집니다.”
또한 작년 5월 이란에서 대통령 선거가 있기 하루 전, chmail.ir 웹메일 사용자들은(대부분 정치인 혹은 정치 활동을 벌이는 사람들이다) 크리덴셜 피싱 이메일 공격을 받았다. 이러한 일은 세계 곳곳에서 발생했으며, 정치적인 목적을 가진 자들의 소행일 가능성이 매우 높다. 역시나 폰스톰이 의심되는 부분이다.
6월에는 폰스톰이 미국 하원의 액티브 디렉토리 연합 서비스(Active Directory Federation Services)를 흉내 낸 사이트를 만들어 피싱 공격을 하기도 했다. 가을에는 오픈소스 정보를 활용한 기자 집단인 벨링캣(Bellingcat)을 공격하기 위해 구글의 블로그스팟(Blogspot) 서비스를 어뷰징하기도 했다.
NATO 산하의 사이버방어협력센터(CCDCOE)가 조직하는 사이콘 US(CyCon U.S.)과 관련된 개인이나 단체, 웨스트포인트(West Point)의 아미 사이버 인스티튜트(Army Cyber Institute)와 관련이 있든 개인과 단체 역시 폰스톰의 표적이었다.
앞으로도 폰스톰은 정치 혹은 외교 방면에 있는 조직들을 겨냥해 계속해서 공격할 것으로 보인다. 특히 폰스톰이 주로 실시하는 소셜 엔지니어링 공격이 다양한 SNS 플랫폼에서 나타날 것이 거의 분명하다고 트렌드 마이크로는 예측한다.
“가짜뉴스를 퍼트리고 기밀 자료를 폭로하는 등의 활동이 이어질 겁니다. 이는 악성 행위자들에게 있어 강력한 공격 전략이 되어가고 있습니다. 이러한 공격이 ‘비기술적’으로 보이며, 일견 사기의 일종에 보이지만, 전문적으로 공격 표적에 대한 정찰과 관찰, 감시, 학습 활동이 뒷받침되기 때문에 가능한 겁니다. 어떻게 보면 ‘공격’이란 행위의 기본기가 탄탄해야 가능한 작전인 것이죠. 그래서 폰스톰이 무서운 겁니다.”
또 이러한 폰스톰의 공격 기법을 흉내 낸 공격들도 이어질 것이라고 트렌드 마이크로는 내다보고 있다. “사이버 범죄자나 해커들은 자신의 정체를 감추기 위해서, 혹은 새로운 기법을 익히기 위해서 모방을 활발히 하는 편입니다. 특히 동계 올림픽이 다가오고 있어 이러한 악성 행위들이 더 늘어날 것으로 보입니다.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
