말레이시아 정부 노린 공격 분석하니, “공개된 툴들의 짬뽕”

2018-12-19 18:18
  • 카카오톡
  • 네이버 블로그
  • url
이전에 등장해 여러 사건 일으켰으나 소스코드 유출된 멀웨어 발견돼
이탈리아 보안 업체 해킹 팀의 악명 높은 감시 툴도 포함되어 있어


[보안뉴스 문가용 기자] 최근 새로운 사이버 정찰용 툴킷이 발견됐다. 이 툴킷은 말레이시아 정부를 표적으로 한 공격에 사용되었는데, 그 속을 들여다보면 이미 널리 공개된 해킹 툴들로 구성되어 있다고 한다. 보안 업체 이셋(ESET)이 이를 분석하여 알려왔다.


[이미지 = iclickart]

이 툴킷이 제일 먼저 목격된 것은 2018년 6월이다. 이셋은 이 툴을 보자마자 큰 관심을 기울였는데, 그 이유는 익숙한 코드가 발견됐기 때문이다. 바로 고스트랫(Gh0st RAT)과 넷봇 어태커(NetBot Attacker)라는 악성 툴들에서 나온 것들이었다.

이셋의 보안 전문가 토마스 가돈(Tomáš Gardoň)과 필립 카프카(Filip Kafka)는 자사 블로그를 통해 “고스트랫과 넷봇 어태커라는 멀웨어 패밀리 모두 2008년에 개발된 것으로 큰 사건들을 여러 차례 일으켜 왔다”고 설명했다. “또한 소스코드가 온라인에 유출되었다는 공통점을 가지고 있습니다.”

말레이시아 정부를 공격한 툴킷에서 이 두 가지 멀웨어의 코드만이 포함되어 있었던 건 아니다. 이탈리아의 악명 높은 보안 업체인 해킹팀(Hacking Team)이 개발한 원격 통제 시스템(Remote Control System, RCS)이라는 감시 및 검열 도구도 발견됐다. 이 RCS 툴 역시 소스코드가 유출되는 일이 있었고, 그 후 여러 멀웨어가 파생된 바 있다.

물론 코드를 서로서로 재사용해서 멀웨어나 툴킷을 새롭게 만들어내는 건 흔히 있는 일이다. 실력은 낮은데 목표는 높은 공격자들 사이에서 특히 두드러지는 현상이다. 반대로 정부 기관을 노린 고도의 표적화 공격에서는 해커들이 직접 만든 툴들이 발견되는 게 보통이다. 즉 이번 말레이시아 공격은 여러 모로 ‘반대의 모습’들이 나타났었던 것이다.

“말레이시아 기관을 노린 공격자들은 스스로 툴을 개발할 정도의 실력은 없었던 것으로 보입니다. 그러면서도 정부 기관을 노린 대범함을 가지고 있기도 했죠. 가장 적은 노력으로 가장 큰 효과를 거두고 싶었던 것이 아닐까 합니다. RCS까지 차용한 걸 보면 눈에 띄지 않기 위한 기술조차 남들에게서 빌리려고 했던 것을 알 수 있습니다.”

그러나 툴킷에 있던 모든 기능들이 다 남들에게서 빌려온 건 아니었다. “파일을 훔쳐내는 기능을 가진 독립 형태의 멀웨어가 하나 있었는데, 여태까지 공개된 악성 툴들과는 그 어떤 유사점도 발견할 수가 없었습니다.”

이셋의 전문가들에 의하면 이 툴킷은 백도어처럼 작동한다. 즉 공격자들이 파일을 빼낼 수도 있고, 업로드할 수도 있도록 통로가 되어준다는 것이다. 또한 파일의 삭제와 수정 기능도 가지고 있으며, 마우스와 키보드에서 발생하는 활동들을 모니터링하고 흉내 내는 것도 가능하다. “그 외에도 정보 수집, 킬 프로세스 실행, 시스템 셧다운 및 재시동도 가능합니다.”

이 멀웨어는 대부분 보안 솔루션들에 의해 탐지되어 차단됐다. 그러나 말레이시아 정부 기관에 피해가 아주 없지는 않았다. “저희가 관찰한 바에 의하면 공격 시도는, 침해된 네트워크에서부터 발생하고 있었습니다. 그렇다는 건, 공격자들이 네트워크 내 컴퓨터나 서버를 침해한 후 횡적으로 움직인다는 뜻이 됩니다.”

또한 공격자들이 최초 침투에 있어서 다양한 방법들을 사용하고 있다는 것도 발견했다. “그렇다는 건 말레이시아 정부를 노린 게 우연이 아닐 확률이 높다는 뜻입니다. 누군가 작정하고 말레이시아 정부에 대한 정찰을 시도한 겁니다.” 하지만 아직 공격 세력에 대해서는 알려진 바가 없다.

3줄 요약
1. 지난 6월 말레이시아 정부 기관 노린 공격 발견되면서, 새로운 툴킷 나옴.
2. 이 툴킷은 소스코드가 유출되거나 공개된 툴들로 구성됨.
3. 툴킷은 백도어처럼 사용돼 여러 가지 정찰 기능을 수행할 수 있음. 표적형 공격일 가능성 높음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 알티솔루션

    • 인콘

    • 엔텍디바이스코리아

    • 마이크로시스템

    • TVT코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 비전정보통신

    • 인텔리빅스

    • 경인씨엔에스

    • 세연테크

    • 성현시스템

    • 한결피아이에프

    • 유니뷰코리아

    • 디비시스

    • 프로브디지털

    • 스피어AX

    • 투윈스컴

    • 트루엔

    • 한국씨텍

    • 위트콘

    • 유에치디프로

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 제이슨

    • 라온시큐어

    • 시만텍

    • 유니닥스

    • 사이버아크

    • 한국IBM

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 유투에스알

    • 에이앤티코리아

    • 네티마시스템

    • 태정이엔지

    • 에이티앤넷

    • (주)일산정밀

    • 주식회사 에스카

    • 두레옵트로닉스

    • 넥스텝

    • 모스타

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 지와이네트웍스

    • 티에스아이솔루션

    • 구네보코리아주식회사

    • 동양유니텍

    • 엔에스티정보통신

    • 엔시드

    • 포커스에이치앤에스

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기