실크빈, 골든이글, 카본스틸...오늘날까지 한 번도 공개된 적 없는 감시 도구
캠페인 거슬러 올라가니 2012~2013년...중국 정부의 오랜 감시 노력으로 의심돼
[보안뉴스 문가용 기자] 안드로이드 생태계에서 처음으로 발견되는 감시 도구들의 정체가 드러났다. 이 도구들은 2013년부터 사용되어 온 것으로 보이며, 위구르족을 감시하기 위해 만들어진 것으로 분석됐다. 이 도구들의 이름은 실크빈(SilkBean), 골든이글(GoldenEagle), 카본스틸(CarbonSteal)이다. 그 외 같은 캠페인에서 더블에이전트(DoubleAgent)라는 멀웨어가 함께 사용되어 왔다는 것도 발견됐다.
[이미지 = utoimage]
이 캠페인을 발견한 보안 업체 룩아웃(Lookout)은 보고서를 통해 “이 도구들은 여러 버전의 형태로 존재하고 있는데, 거의 전부 정상적인 앱을 감염시킨 형태로 배포되고 있었다”고 한다. 캠페인의 출처는 중국인 것으로 강력히 의심되며, 위구르족만이 아니라 티베트인들을 노린 것이기도 하다.
위구르족이 표적이 되고 있다고 의심되는 이유는 이 멀웨어들이 위장에 사용한 앱들 때문이다. 위구르족들 사이의 음악 서비스인 사르쿠이(Sarkuy), 위구르족들이 사용하는 의약품 관련 앱인 티비아와(TIBBYAWHAR), 위구르족들이 자주 사용하는 전자상거래 사이트인 타와림(Tawarim) 등이 대표적이다. 공격자들은 표적형 피싱 공격이나 서드파티 앱 스토어를 통해 해당 앱들을 설치하도록 유도한 뒤 정찰을 했을 것으로 보인다.
감시와 정찰에 활용된 안드로이드 멀웨어 네 개(첫 문단에 언급됨)는 각각 다른 정보를 우선적으로 취합하며, 따라서 서로 다른 기술들을 활용하는 것으로 분석됐다. 전부 같은 C&C 인프라를 활용하고 있었으며, 같은 인증서를 통해 서명되어 있기도 했다. 이 멀웨어들의 특징을 간략히 정리하면 다음과 같다.
1) 실크빈 : 위구르족과 아라비아어 구사자들이 사용하는 앱들을 통해 배포됨. 종합적인 RAT 기능을 탑재하고 있음. 공격자가 무려 70개가 넘는 명령을 실행할 수 있게 함.
2) 더블에이전트 : 2013년에 처음 공개된 도구. 이번에 발견된 건 새로운 샘플. 처음 샘플에 비해 여러 면에서 진화된 모습을 보임. 초기 버전은 FTP 서버를 사용해 정보를 빼냈다면, 지금은 TCP 소켓을 통해 C&C 서버로 업로드 함. 위구르족이 자주 사용하는 안드로이드 앱을 통해 퍼짐.
3) 카본스틸 : 2017년부터 룩아웃이 추적해오고 이번에 처음 공개함. 현재까지 500개의 샘플이 발견됐음. 음성 녹음에 특화된 기능을 가지고 있음. 다양한 코덱을 통해 여러 오디오 포맷을 지원함. 특수하게 조작한 SMS 메시지를 통해 감염된 장비를 제어함.
4) 골든이글 : 최소 2012년부터 사용되어 온 것으로 보임. 현재까지 룩아웃이 발견한 안드로이드용 감시 도구 중 가장 오래된 것으로 꼽힘. 다양한 정찰 및 감시 기능을 가지고 있고, 위챗(WeChat)이라는 중국 SNS 플랫폼을 통해서도 메시지를 전달 받을 수 있음.
일부 샘플의 날짜를 역추적하면, 이 감시 캠페인이 꽤나 긴 시간 이어졌다는 걸 알 수 있다고 룩아웃은 설명했다. 공격자들은 그 시간 동안 최소 14개 국가에서 공격 캠페인을 펼쳤다고 한다. 중국 내 거주하는 위구르족이나 티베트인들이 아니라 중국 영토 바깥에 있는 자들도 감시 대상이었다는 것이다. 특히 터키, 시리아, 쿠웨이트에서 공격자들의 흔적이 발견되었다.
공격자들은 중국의 APT 단체인 그레프(GREF)인 것으로 추정된다고 한다. 그레프는 APT15, 켑창(Ke3chang), 미라지(Mirage), 빅슨판다(Vixen Panda), 플레이풀드래곤(Playful Dragon) 등의 이름으로도 불린다. 룩아웃은 과거 그레프의 공격 인프라로 알려진 것이 이번 캠페인에 활용되고 있었다고 그 근거를 댄다. 게다가 중국 정부의 위구르족과 티베트인 탄압은 전 세계적으로 악명이 높고, 각종 인권 단체의 비판 대상이 되고 있는 것도 사실이다.
3줄 요약
1. 위구르족과 티베트인 등 소수민족 겨냥한, 오래된 감시 캠페인 발견됨.
2. 캠페인과 함께 세 개의 안드로이드용 감시 도구도 최초로 공개됨.
3. 배후에는 APT15가 있을 것으로 의심됨. 과거 공격 인프라와 겹치기 때문.
[국제부 문가용 기자(globoan@boannews.com)]
캠페인 거슬러 올라가니 2012~2013년...중국 정부의 오랜 감시 노력으로 의심돼
[보안뉴스 문가용 기자] 안드로이드 생태계에서 처음으로 발견되는 감시 도구들의 정체가 드러났다. 이 도구들은 2013년부터 사용되어 온 것으로 보이며, 위구르족을 감시하기 위해 만들어진 것으로 분석됐다. 이 도구들의 이름은 실크빈(SilkBean), 골든이글(GoldenEagle), 카본스틸(CarbonSteal)이다. 그 외 같은 캠페인에서 더블에이전트(DoubleAgent)라는 멀웨어가 함께 사용되어 왔다는 것도 발견됐다.
[이미지 = utoimage]
이 캠페인을 발견한 보안 업체 룩아웃(Lookout)은 보고서를 통해 “이 도구들은 여러 버전의 형태로 존재하고 있는데, 거의 전부 정상적인 앱을 감염시킨 형태로 배포되고 있었다”고 한다. 캠페인의 출처는 중국인 것으로 강력히 의심되며, 위구르족만이 아니라 티베트인들을 노린 것이기도 하다.
위구르족이 표적이 되고 있다고 의심되는 이유는 이 멀웨어들이 위장에 사용한 앱들 때문이다. 위구르족들 사이의 음악 서비스인 사르쿠이(Sarkuy), 위구르족들이 사용하는 의약품 관련 앱인 티비아와(TIBBYAWHAR), 위구르족들이 자주 사용하는 전자상거래 사이트인 타와림(Tawarim) 등이 대표적이다. 공격자들은 표적형 피싱 공격이나 서드파티 앱 스토어를 통해 해당 앱들을 설치하도록 유도한 뒤 정찰을 했을 것으로 보인다.
감시와 정찰에 활용된 안드로이드 멀웨어 네 개(첫 문단에 언급됨)는 각각 다른 정보를 우선적으로 취합하며, 따라서 서로 다른 기술들을 활용하는 것으로 분석됐다. 전부 같은 C&C 인프라를 활용하고 있었으며, 같은 인증서를 통해 서명되어 있기도 했다. 이 멀웨어들의 특징을 간략히 정리하면 다음과 같다.
1) 실크빈 : 위구르족과 아라비아어 구사자들이 사용하는 앱들을 통해 배포됨. 종합적인 RAT 기능을 탑재하고 있음. 공격자가 무려 70개가 넘는 명령을 실행할 수 있게 함.
2) 더블에이전트 : 2013년에 처음 공개된 도구. 이번에 발견된 건 새로운 샘플. 처음 샘플에 비해 여러 면에서 진화된 모습을 보임. 초기 버전은 FTP 서버를 사용해 정보를 빼냈다면, 지금은 TCP 소켓을 통해 C&C 서버로 업로드 함. 위구르족이 자주 사용하는 안드로이드 앱을 통해 퍼짐.
3) 카본스틸 : 2017년부터 룩아웃이 추적해오고 이번에 처음 공개함. 현재까지 500개의 샘플이 발견됐음. 음성 녹음에 특화된 기능을 가지고 있음. 다양한 코덱을 통해 여러 오디오 포맷을 지원함. 특수하게 조작한 SMS 메시지를 통해 감염된 장비를 제어함.
4) 골든이글 : 최소 2012년부터 사용되어 온 것으로 보임. 현재까지 룩아웃이 발견한 안드로이드용 감시 도구 중 가장 오래된 것으로 꼽힘. 다양한 정찰 및 감시 기능을 가지고 있고, 위챗(WeChat)이라는 중국 SNS 플랫폼을 통해서도 메시지를 전달 받을 수 있음.
일부 샘플의 날짜를 역추적하면, 이 감시 캠페인이 꽤나 긴 시간 이어졌다는 걸 알 수 있다고 룩아웃은 설명했다. 공격자들은 그 시간 동안 최소 14개 국가에서 공격 캠페인을 펼쳤다고 한다. 중국 내 거주하는 위구르족이나 티베트인들이 아니라 중국 영토 바깥에 있는 자들도 감시 대상이었다는 것이다. 특히 터키, 시리아, 쿠웨이트에서 공격자들의 흔적이 발견되었다.
공격자들은 중국의 APT 단체인 그레프(GREF)인 것으로 추정된다고 한다. 그레프는 APT15, 켑창(Ke3chang), 미라지(Mirage), 빅슨판다(Vixen Panda), 플레이풀드래곤(Playful Dragon) 등의 이름으로도 불린다. 룩아웃은 과거 그레프의 공격 인프라로 알려진 것이 이번 캠페인에 활용되고 있었다고 그 근거를 댄다. 게다가 중국 정부의 위구르족과 티베트인 탄압은 전 세계적으로 악명이 높고, 각종 인권 단체의 비판 대상이 되고 있는 것도 사실이다.
3줄 요약
1. 위구르족과 티베트인 등 소수민족 겨냥한, 오래된 감시 캠페인 발견됨.
2. 캠페인과 함께 세 개의 안드로이드용 감시 도구도 최초로 공개됨.
3. 배후에는 APT15가 있을 것으로 의심됨. 과거 공격 인프라와 겹치기 때문.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
