중동과 아프리카 지역을 위주로 활동하는 것으로 추정되는 해킹 단체가 하나 새로 발견됐다. 실력의 측면에서나 보유한 자원의 측면에서나 매우 풍족해 보인다. 실력이 너무 좋아 흔적도 좀처럼 남기지 않아 분석에도 한계가 있다. 그래서 일단 이런 단체가 있다고 한 보안 업체가 알렸다.
[보안뉴스 문가용 기자] 새로운 공격 단체가 중동의 통신사 하나와, 중동 및 아프리카 지역의 여러 인터넷 공급 업체와 대학 기관들을 감염시켰다. 이 단체는 여태까지 발견된 적이 없던 그룹으로 보이며, 대단히 복잡한 멀웨어 두 개와 관련이 있는 것으로 조사되고 있다. 처음 발견된 공격 그룹의 출현에 보안 업계가 관심을 보이는 중이다.
[이미지 = utoimage]
이 그룹을 제일 먼저 발견한 건 보안 업체 센티넬원(SentinelOne)이다. 센티넬원은 여기에 메타도르(Metador)라는 이름을 붙였다. 악성 코드에 ‘나는 메타다(I am meta)’라는 문구가 있고, 여러 서버 메시지들이 스페인어로 되어 있기 때문이다. 최소 2020년 12월부터 활동을 시작한 것으로 보이지만 현재까지 한 번도 들킨 적이 없다. 센티넬원의 수석 국장인 후안 안드레스 게레로사드(Juan Andres Guerrero-Saade)는 “다른 보안 업체나 정부 기관들과 정부를 공유했지만 그 누구도 이 새 그룹을 본적이 없었다”고 설명한다.
게레로사드와 센티넬원의 또 다른 전문가인 아미타이 벤 슈샨 엘리흐(Amitai Ben Shushan Ehrlich), 그리고 알렉산더 밀렌코스키(Aleksandar Milenkoski)는 메타도르와 관련이 깊은 두 가지 멀웨어에 대한 세부적인 내용을 자사 블로그를 통해 공개했다. 보다 정확히 말하면 멀웨어 ‘플랫폼’이고, 이름은 메타메인(metaMain)과 마팔다(Mafalda)이다. 이 기술 정보를 공개한 이유는 메타메인과 마팔다에 감염된 피해자들을 더 찾아내기 위해서다. 과거 피해 사건에 대한 조사만 진행했지, 현재에는 이 두 멀웨어 플랫폼이 어디에서 어떤 활동을 하고 있는지 알 수 없기 때문이다.
먼저 메타메인은 일종의 백도어다. 마우스의 움직임과 키보드로 입력되는 정보를 로깅할 수 있으며, 스크린샷 캡쳐와 데이터/파일 유출도 가능하다. 그리고 마팔다를 설치하는 기능도 가지고 있다. 마팔다는 모듈 구성의 프레임워크로 피해자의 시스템과 네트워크 정보를 모으는 등의 기능을 가지고 있다. 모듈 구성이기 때문에 공격자가 자유롭게 기능을 추가할 수 있다. 메타메인과 마팔다 모두 메모리 내에서만 작동하고, 하드드라이브에는 아무 흔적도 남기지 않는다.
메타도르는 각 피해자들마다 고유의 IP 주소들을 배정한다는 독특한 특징도 가지고 있다. 그렇기 때문에 C&C 서버 하나가 발각된다 하더라도 공격 인프라의 다른 부분들은 여전히 작동한다. 게다가 발견된 C&C 서버를 통해 다른 피해자들까지 같이 드러나는 사태를 막을 수 있다. 보안 전문가들이 공격 단체를 추적하다가 악성 서버를 발견하고, 거기서부터 여러 피해자들을 알아내는 건 흔히 있는 일이다. 이를 통해 보안 업계는 공격 단체의 활동 범위 등을 파악할 수 있게 된다. 다시 말해 메타도르의 이러한 특징은 분석가들이 공격의 전체적인 상황을 파악할 수 없게 만들기도 한다.
피해자들끼리는 서로 섞이지 않게 했으면서 메타도르는 다른 공격 단체들과는 잘 섞여드는 편이다. 메타도르의 피해자 중 하나였던 중동 통신사의 경우, 이미 10개 이상의 국가 지원 해킹 단체들의 침해를 받은 적이 있었던 곳이었다. 주로 중국이나 이란의 정부와 관련이 있는 단체들이었다고 센티넬원 측은 밝혔다.
한 조직에 여러 공격 단체들이 몰리는 경우는 사이버 공격 및 해킹 세계에서 종종 나타난다. 이럴 때 공격자들은 먼저 왔다 간 다른 공격 단체의 흔적을 지우는 데에 시간을 아낌없이 할애한다. 이 과정을 얼마나 꼼꼼하게 진행하냐면, 다른 공격자들이 익스플로잇 한 취약점을 찾아서 패치하기까지 한다. 자신들의 공격 행위가 누군가에게 드러나는 걸 극도로 꺼리기에 나오는 행동이라고 볼 수 있다.
하지만 10번 이상이나 이미 공격을 당한 통신사를 다시 공격한 걸 보면 메타도르는 다른 공격자들에 대해 크게 신경 쓰지 않는 것으로 보인다고 센티넬원 측은 설명한다. “물론 공격을 당한 그 회사가 모든 것을 감수할 만큼 가치가 높은 표적이었을 수도 있습니다. 정확한 건 메타도르를 더 추적해 봐야 알겠지요.”
한편 위에 언급된 2개의 멀웨어를 보면 메타도르가 굉장히 든든한 배경을 가지고 있다는 걸 알 수 있다고 센티넬원은 말한다. “멀웨어는 기술적으로도 상당한 수준에 있고, 심지어 계속 개발 중에 있기도 합니다. 이런 멀웨어를 뚜렷한 소득이 남지 않는 공격에 활용하고 또 개발까지 이어간다는 건 누군가 뒤를 봐주고 있다는 뜻일 가능성이 높습니다. 다만 그것이 정부 기관인지 아닌지는 아직 확실히 말하기가 힘든 단계입니다.”
발견만 됐을 뿐 뭔가 결론을 내릴 만큼 관련 정보가 확실히 나온 게 없는 상황에서 메타도르라는 단체를 찾아냈다는 것에는 어떤 의미가 있을까? “이번 발견은 마치 해변가에서 상어 지느러미를 발견한 것과 같다고 생각합니다. 아직 그 밑에 있는 상어가 어떤 모습일지, 얼마나 큰 이빨을 가졌으며, 어떤 걸 주로 먹는지, 아무 것도 모릅니다. 다만 얼른 도망쳐야 할 정도로 위험한 것이 다가오고 있다는 것만 알 뿐이죠. 저희는 그 지느러미 쪽으로 손가락질을 해서 시선을 모았고, 이제 모두가 각자의 위치에서 이 위협을 관찰해 알아낸 것들을 서로에게 공유하는 일이 남았습니다.”
3줄 요약
1. 새로운 해킹 단체인 메타도르, 수면 위로 모습을 살짝 드러냄.
2. 복잡한 고급 멀웨어 두 개를 활용하는 것으로 보임.
3. 그렇게 많은 흔적을 남기고 있지 않아서 수수께끼 투성인 단체.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 새로운 공격 단체가 중동의 통신사 하나와, 중동 및 아프리카 지역의 여러 인터넷 공급 업체와 대학 기관들을 감염시켰다. 이 단체는 여태까지 발견된 적이 없던 그룹으로 보이며, 대단히 복잡한 멀웨어 두 개와 관련이 있는 것으로 조사되고 있다. 처음 발견된 공격 그룹의 출현에 보안 업계가 관심을 보이는 중이다.
[이미지 = utoimage]
이 그룹을 제일 먼저 발견한 건 보안 업체 센티넬원(SentinelOne)이다. 센티넬원은 여기에 메타도르(Metador)라는 이름을 붙였다. 악성 코드에 ‘나는 메타다(I am meta)’라는 문구가 있고, 여러 서버 메시지들이 스페인어로 되어 있기 때문이다. 최소 2020년 12월부터 활동을 시작한 것으로 보이지만 현재까지 한 번도 들킨 적이 없다. 센티넬원의 수석 국장인 후안 안드레스 게레로사드(Juan Andres Guerrero-Saade)는 “다른 보안 업체나 정부 기관들과 정부를 공유했지만 그 누구도 이 새 그룹을 본적이 없었다”고 설명한다.
게레로사드와 센티넬원의 또 다른 전문가인 아미타이 벤 슈샨 엘리흐(Amitai Ben Shushan Ehrlich), 그리고 알렉산더 밀렌코스키(Aleksandar Milenkoski)는 메타도르와 관련이 깊은 두 가지 멀웨어에 대한 세부적인 내용을 자사 블로그를 통해 공개했다. 보다 정확히 말하면 멀웨어 ‘플랫폼’이고, 이름은 메타메인(metaMain)과 마팔다(Mafalda)이다. 이 기술 정보를 공개한 이유는 메타메인과 마팔다에 감염된 피해자들을 더 찾아내기 위해서다. 과거 피해 사건에 대한 조사만 진행했지, 현재에는 이 두 멀웨어 플랫폼이 어디에서 어떤 활동을 하고 있는지 알 수 없기 때문이다.
먼저 메타메인은 일종의 백도어다. 마우스의 움직임과 키보드로 입력되는 정보를 로깅할 수 있으며, 스크린샷 캡쳐와 데이터/파일 유출도 가능하다. 그리고 마팔다를 설치하는 기능도 가지고 있다. 마팔다는 모듈 구성의 프레임워크로 피해자의 시스템과 네트워크 정보를 모으는 등의 기능을 가지고 있다. 모듈 구성이기 때문에 공격자가 자유롭게 기능을 추가할 수 있다. 메타메인과 마팔다 모두 메모리 내에서만 작동하고, 하드드라이브에는 아무 흔적도 남기지 않는다.
메타도르는 각 피해자들마다 고유의 IP 주소들을 배정한다는 독특한 특징도 가지고 있다. 그렇기 때문에 C&C 서버 하나가 발각된다 하더라도 공격 인프라의 다른 부분들은 여전히 작동한다. 게다가 발견된 C&C 서버를 통해 다른 피해자들까지 같이 드러나는 사태를 막을 수 있다. 보안 전문가들이 공격 단체를 추적하다가 악성 서버를 발견하고, 거기서부터 여러 피해자들을 알아내는 건 흔히 있는 일이다. 이를 통해 보안 업계는 공격 단체의 활동 범위 등을 파악할 수 있게 된다. 다시 말해 메타도르의 이러한 특징은 분석가들이 공격의 전체적인 상황을 파악할 수 없게 만들기도 한다.
피해자들끼리는 서로 섞이지 않게 했으면서 메타도르는 다른 공격 단체들과는 잘 섞여드는 편이다. 메타도르의 피해자 중 하나였던 중동 통신사의 경우, 이미 10개 이상의 국가 지원 해킹 단체들의 침해를 받은 적이 있었던 곳이었다. 주로 중국이나 이란의 정부와 관련이 있는 단체들이었다고 센티넬원 측은 밝혔다.
한 조직에 여러 공격 단체들이 몰리는 경우는 사이버 공격 및 해킹 세계에서 종종 나타난다. 이럴 때 공격자들은 먼저 왔다 간 다른 공격 단체의 흔적을 지우는 데에 시간을 아낌없이 할애한다. 이 과정을 얼마나 꼼꼼하게 진행하냐면, 다른 공격자들이 익스플로잇 한 취약점을 찾아서 패치하기까지 한다. 자신들의 공격 행위가 누군가에게 드러나는 걸 극도로 꺼리기에 나오는 행동이라고 볼 수 있다.
하지만 10번 이상이나 이미 공격을 당한 통신사를 다시 공격한 걸 보면 메타도르는 다른 공격자들에 대해 크게 신경 쓰지 않는 것으로 보인다고 센티넬원 측은 설명한다. “물론 공격을 당한 그 회사가 모든 것을 감수할 만큼 가치가 높은 표적이었을 수도 있습니다. 정확한 건 메타도르를 더 추적해 봐야 알겠지요.”
한편 위에 언급된 2개의 멀웨어를 보면 메타도르가 굉장히 든든한 배경을 가지고 있다는 걸 알 수 있다고 센티넬원은 말한다. “멀웨어는 기술적으로도 상당한 수준에 있고, 심지어 계속 개발 중에 있기도 합니다. 이런 멀웨어를 뚜렷한 소득이 남지 않는 공격에 활용하고 또 개발까지 이어간다는 건 누군가 뒤를 봐주고 있다는 뜻일 가능성이 높습니다. 다만 그것이 정부 기관인지 아닌지는 아직 확실히 말하기가 힘든 단계입니다.”
발견만 됐을 뿐 뭔가 결론을 내릴 만큼 관련 정보가 확실히 나온 게 없는 상황에서 메타도르라는 단체를 찾아냈다는 것에는 어떤 의미가 있을까? “이번 발견은 마치 해변가에서 상어 지느러미를 발견한 것과 같다고 생각합니다. 아직 그 밑에 있는 상어가 어떤 모습일지, 얼마나 큰 이빨을 가졌으며, 어떤 걸 주로 먹는지, 아무 것도 모릅니다. 다만 얼른 도망쳐야 할 정도로 위험한 것이 다가오고 있다는 것만 알 뿐이죠. 저희는 그 지느러미 쪽으로 손가락질을 해서 시선을 모았고, 이제 모두가 각자의 위치에서 이 위협을 관찰해 알아낸 것들을 서로에게 공유하는 일이 남았습니다.”
3줄 요약
1. 새로운 해킹 단체인 메타도르, 수면 위로 모습을 살짝 드러냄.
2. 복잡한 고급 멀웨어 두 개를 활용하는 것으로 보임.
3. 그렇게 많은 흔적을 남기고 있지 않아서 수수께끼 투성인 단체.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
