중국의 해킹 단체로 알려진 사이클덱...최근까지는 수준 낮다고 무시 받아
최근 이들이 사용해왔던 망분리 멀웨어 발견돼...여러 나라에 침투한 흔적 나오기도
[보안뉴스 문가용 기자] 중국의 해커 단체로 여겨지는 사이클덱(Cycldek)의 위험성에 대한 새로운 보고서가 발표됐다. 보안 업계에서는 사이클덱이 기술적으로 완숙하지 못한 단체라고 무시해왔었다. 하지만 카스퍼스키(Kaspersky)가 “생각보다 강력한 위협이 될 가능성이 높다”고 반박했다.
[이미지 = utoimage]
카스퍼스키가 이런 결론을 내린 것은 사이클덱이 사용하고 있는 도구와 전략을 분석한 뒤의 일이다. 보고서에 의하면 현재까지 알려지지 않았을 뿐 사이클덱은 이미 베트남과 라오스, 태국의 주요 단체들의 네트워크에 이미 깊숙하고 방대하게 침투해 있는 상태라고 한다. 또한 최소 2018년부터 다양한 도구와 전략을 유연하게 활용해왔고, 다양한 국가들에서 활동의 흔적이 발견되고 있다고도 한다. 사이클덱은 고블린 판다(Goblin Panda)나 코나임즈(Conimes)라고도 불린다.
카스퍼스키가 새롭게 발견한 이들의 새로운 도구에는 USB컬프릿(USBCulprit)이라는 것이 있다. 분석해보니 망분리가 된 시스템을 공격하기 위한 도구로 보였다. “공격자들이 원하는 데이터를 추출하고, 이를 USB로 옮기는 기능을 가지고 있었습니다. 또한 특정 USB 드라이브들에 스스로를 복제하는 기능도 있었습니다. 그러면서 망분리 된 시스템에도 옮겨갈 수 있도록 한 것이죠.”
카스퍼스키의 수석 보안 연구원인 마크 레흐틱(Mark Lechtik)은 “게다가 USB컬프릿에는 네트워크를 통한 통신 기능이 하나도 없었다”고 설명을 추가했다. “오로지 물리적으로 삽입된 드라이브에만 복제를 하거나 정보를 넘기는 멀웨어였습니다. 감염시킨 시스템의 연결 상태를 매핑하는 기능도 가지고 있었고요. 여러 모로 인터넷과 네트워크로부터 분리된 시스템을 노리는 멀웨어일 가능성이 높습니다.”
공격이 성립하려면 몇 가지 조건이 성립되어야 한다. “멀웨어가 심긴 USB를 피해자가 망분리 된 시스템에 꽂아야 합니다. 그런 후에 멀웨어를 직접 실행시켜야 해요. 실수로든 혹은 일부러든 말이죠. 이건 2012년 이란에서 발생한 스턱스넷(Stuxnet) 사건과 비슷합니다. 현재까지 스턱스넷이 이런 시나리오로 이란 핵시설을 마비시켰다는 게 업계 내 정설입니다. 즉 이런 공격 시나리오가 상상 속에서만 존재하는 게 아니라는 것이죠.”
그러나 USB로 빼낸 정보를 사이클덱이 운영하는 서버나 시스템으로 옮겨오는 방식에 대해서는 아직 확실하게 알아낸 바가 없다. “아마도 공격에 사용된 USB를 물리적으로 탈취하는 등의 방법을 사용하지 않을까 합니다. 이 부분에 대해서는 조금 더 연구가 필요합니다.”
USB컬프릿에는 훔친 데이터를 로컬 디스크에 옮겨놓는 기능도 있었다. 다만 이 로컬 디스크의 특정 경로에 1.txt라는 파일이 존재해야만 발동하는 기능이었다. “1.txt 파일은 일종의 표식 같습니다. 이런 표식이 있는 시스템에 USB가 삽입되면 데이터가 옮겨가고, 공격자들은 이 시스템을 통해 훔친 정보를 추출해가는 것도 같습니다.” 하지만 아직 1.txt라는 표식이 있는 컴퓨터를 공격자들이 어떤 식으로 활용하는지는 다 파악하지 못한 상태다.
그렇다면 사이클덱 공격자들은 주로 어떤 정보를 훔쳐가는 걸까? 이 역시 아직 명확히 밝혀내지 못했다. “USB컬프릿은 파일 확장자를 기반으로 훔쳐갈 것들을 결정합니다. 또한 파일의 위치와 경로도 선택의 기준이 되는 것으로 보입니다. 주요 위치는 데스크톱 바탕화면, 최근 파일 등이었고요. 그러나 실제 어떤 파일을 가져가는지는 아직 파악하지 못했습니다.”
사이클덱이 USB컬프릿을 사용한 것은 최소 2014년부터인 것으로 보인다. 그리고 지금까지 계속해서 멀웨어를 업그레이드 시켜 왔다. 최신 버전의 경우 모듈을 덧붙여 기능을 확장시킬 수 있는 데까지 발전했다.
또한 사이클덱이라는 이름 아래 두 개의 하위 단체가 독립적으로 활동하고 있다는 정황도 나왔다고 카스퍼스키는 밝혔다. “두 단체가 어느 정도는 협업을 하는 것으로도 보이지만, 기본적으로는 독립적인 활동 반경을 가지고 있습니다. 사용하는 도구는 조금씩 겹치는데, 공격 인프라 자체는 완전히 동떨어져 있거든요.”
3줄 요약
1. 수준 낮다고 무시해왔던 중국의 해킹 그룹 사이클덱.
2. 하지만 수년 전부터 망분리 시스템 노리고, 주요 멀웨어를 모듈 구성으로 업그레이드 시킴.
3. 정보가 부족해서 수준이 낮아보였던 것이지 사실은 잠재력이 컸던 것.
[국제부 문가용 기자(globoan@boannews.com)]
최근 이들이 사용해왔던 망분리 멀웨어 발견돼...여러 나라에 침투한 흔적 나오기도
[보안뉴스 문가용 기자] 중국의 해커 단체로 여겨지는 사이클덱(Cycldek)의 위험성에 대한 새로운 보고서가 발표됐다. 보안 업계에서는 사이클덱이 기술적으로 완숙하지 못한 단체라고 무시해왔었다. 하지만 카스퍼스키(Kaspersky)가 “생각보다 강력한 위협이 될 가능성이 높다”고 반박했다.
[이미지 = utoimage]
카스퍼스키가 이런 결론을 내린 것은 사이클덱이 사용하고 있는 도구와 전략을 분석한 뒤의 일이다. 보고서에 의하면 현재까지 알려지지 않았을 뿐 사이클덱은 이미 베트남과 라오스, 태국의 주요 단체들의 네트워크에 이미 깊숙하고 방대하게 침투해 있는 상태라고 한다. 또한 최소 2018년부터 다양한 도구와 전략을 유연하게 활용해왔고, 다양한 국가들에서 활동의 흔적이 발견되고 있다고도 한다. 사이클덱은 고블린 판다(Goblin Panda)나 코나임즈(Conimes)라고도 불린다.
카스퍼스키가 새롭게 발견한 이들의 새로운 도구에는 USB컬프릿(USBCulprit)이라는 것이 있다. 분석해보니 망분리가 된 시스템을 공격하기 위한 도구로 보였다. “공격자들이 원하는 데이터를 추출하고, 이를 USB로 옮기는 기능을 가지고 있었습니다. 또한 특정 USB 드라이브들에 스스로를 복제하는 기능도 있었습니다. 그러면서 망분리 된 시스템에도 옮겨갈 수 있도록 한 것이죠.”
카스퍼스키의 수석 보안 연구원인 마크 레흐틱(Mark Lechtik)은 “게다가 USB컬프릿에는 네트워크를 통한 통신 기능이 하나도 없었다”고 설명을 추가했다. “오로지 물리적으로 삽입된 드라이브에만 복제를 하거나 정보를 넘기는 멀웨어였습니다. 감염시킨 시스템의 연결 상태를 매핑하는 기능도 가지고 있었고요. 여러 모로 인터넷과 네트워크로부터 분리된 시스템을 노리는 멀웨어일 가능성이 높습니다.”
공격이 성립하려면 몇 가지 조건이 성립되어야 한다. “멀웨어가 심긴 USB를 피해자가 망분리 된 시스템에 꽂아야 합니다. 그런 후에 멀웨어를 직접 실행시켜야 해요. 실수로든 혹은 일부러든 말이죠. 이건 2012년 이란에서 발생한 스턱스넷(Stuxnet) 사건과 비슷합니다. 현재까지 스턱스넷이 이런 시나리오로 이란 핵시설을 마비시켰다는 게 업계 내 정설입니다. 즉 이런 공격 시나리오가 상상 속에서만 존재하는 게 아니라는 것이죠.”
그러나 USB로 빼낸 정보를 사이클덱이 운영하는 서버나 시스템으로 옮겨오는 방식에 대해서는 아직 확실하게 알아낸 바가 없다. “아마도 공격에 사용된 USB를 물리적으로 탈취하는 등의 방법을 사용하지 않을까 합니다. 이 부분에 대해서는 조금 더 연구가 필요합니다.”
USB컬프릿에는 훔친 데이터를 로컬 디스크에 옮겨놓는 기능도 있었다. 다만 이 로컬 디스크의 특정 경로에 1.txt라는 파일이 존재해야만 발동하는 기능이었다. “1.txt 파일은 일종의 표식 같습니다. 이런 표식이 있는 시스템에 USB가 삽입되면 데이터가 옮겨가고, 공격자들은 이 시스템을 통해 훔친 정보를 추출해가는 것도 같습니다.” 하지만 아직 1.txt라는 표식이 있는 컴퓨터를 공격자들이 어떤 식으로 활용하는지는 다 파악하지 못한 상태다.
그렇다면 사이클덱 공격자들은 주로 어떤 정보를 훔쳐가는 걸까? 이 역시 아직 명확히 밝혀내지 못했다. “USB컬프릿은 파일 확장자를 기반으로 훔쳐갈 것들을 결정합니다. 또한 파일의 위치와 경로도 선택의 기준이 되는 것으로 보입니다. 주요 위치는 데스크톱 바탕화면, 최근 파일 등이었고요. 그러나 실제 어떤 파일을 가져가는지는 아직 파악하지 못했습니다.”
사이클덱이 USB컬프릿을 사용한 것은 최소 2014년부터인 것으로 보인다. 그리고 지금까지 계속해서 멀웨어를 업그레이드 시켜 왔다. 최신 버전의 경우 모듈을 덧붙여 기능을 확장시킬 수 있는 데까지 발전했다.
또한 사이클덱이라는 이름 아래 두 개의 하위 단체가 독립적으로 활동하고 있다는 정황도 나왔다고 카스퍼스키는 밝혔다. “두 단체가 어느 정도는 협업을 하는 것으로도 보이지만, 기본적으로는 독립적인 활동 반경을 가지고 있습니다. 사용하는 도구는 조금씩 겹치는데, 공격 인프라 자체는 완전히 동떨어져 있거든요.”
3줄 요약
1. 수준 낮다고 무시해왔던 중국의 해킹 그룹 사이클덱.
2. 하지만 수년 전부터 망분리 시스템 노리고, 주요 멀웨어를 모듈 구성으로 업그레이드 시킴.
3. 정보가 부족해서 수준이 낮아보였던 것이지 사실은 잠재력이 컸던 것.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
