.gif)
공격자들 치고 자신들의 모습을 드러내려는 자들은 없다. 그래서 치밀하게 자신의 흔적을 감추려는 게 해커들의 습성이자 실력인데, 털라라는 그룹은 그중에서도 독보적이다.
[보안뉴스 문정후 기자] 해커들이 해커들을 해킹하는 건 꽤나 흔히 있는 일인데도 잘 알려지지 않은 사실이다. 그런데 최근 러시아의 APT 단체가 파키스탄의 APT 단체를 해킹한 후 수년 동안 이용해오고 있었다는 정황이 새롭게 드러나면서, 이 잊힐 뻔한 현상을 상기할 수 있게 됐다. 보안 업체 루멘테크놀로지스(Lumen Technologies)가 이에 대해 상세히 밝혔다.
[이미지 = gettyimagesbank]
문제의 러시아 APT 조직은 털라(Turla)다. 시크릿블리자드(Secret Blizzard)라는 이름으로도 불린다. 이들에게 당한 파키스탄의 APT 조직은 스톰0156(Storm-0156)이다. 털라는 스톰0156의 C&C 노드 33개에 침투했고, 그럼으로써 스톰0156의 공격 인프라를 마치 자신의 것처럼 사용하는 게 가능했다. 2022년 12월부터 이 작전은 성공적으로 수행된 것으로 조사됐다. 적어도 2023년 중반까지 그런 상황이 이어진 것으로 보인다. 스톰0156이 정찰 활동 혹은 스파이 활동에 집중하고 있는 그룹이었으므로 털라는 스톰0156이 얻어낸 정보를 공짜로 가져갈 수 있었을 거라고 루멘은 설명한다.
“털라는 특이한 그룹입니다. 다른 해킹 조직들의 C&C 서버에 침투해 자신들의 소유물처럼 활용한다는 점이 이들을 독특하게 만듭니다. 이번 파키스탄 APT 침해 사건은, 이들이 타 APT 인프라를 침해한 네 번째 사건이기도 합니다. 이렇게 함으로써 털라의 공격이 마치 파키스탄 조직의 공격처럼 보이게 되고, 따라서 자신들의 흔적을 효과적으로 감출 수 있게 됩니다. 뿐만 아니라 스톰0156의 성과를 자신들이 가져갈 수도 있게 됩니다.”
파키스탄의 스톰0156, 그리고 털라
루멘의 의하면 스톰0156은 윈도와 리눅스를 위주로 다양한 운영 체제에 맞춰 다양한 해킹 도구를 사용할 줄 아는 그룹이라고 한다. 그 중에는 오픈소스 도구도 있고, 자신들이 직접 제작한 도구도 있었다. 즉 기술적인 측면에서의 유연성은 뛰어난 편에 속한다는 것이다. “하지만 근본적인 침해 전략 자체는 변동이 없습니다. 주로 아프가니스탄과 인도의 단체들을 표적으로 삼는다는 것, 그 중에서도 정부 기관들과 사회 인프라에 해당하는 곳들을 주로 노린다는 것에서 항상 비슷합니다.” 털라가 아프가니스탄과 인도를 몰래 염탐하고 싶었다면 스톰0156을 통하는 게 알맞은 선택일 수 있다는 뜻이다.
루멘의 경우 스톰0156의 인프라가 다른 APT 조직에 의해 침해되었으리라고 예상하지 못한 채 스톰0156을 계속해서 모니터링 하고 있었다고 한다. “2022년 12월부터 2023년 중반까지 스톰0156이 가지고 있던 C&C 노드 11개가 활발히 사용되고 있었다는 걸 알게 됐습니다. 이 중 8개 노드에서 악성 코드 샘플 등을 찾아내기도 했습니다. 그런데 이 11개 노드 모두 새롭게 식별된 가상 사설 서버 세 개와 연결되어 있었습니다. 이전 스톰0156 캠페인에서는 사용되지 않았던, 완전히 새로운 인프라였습니다.”
이것이 힌트가 되어 루멘은 이 인프라를 털라가 이용하고 있다는 걸 알게 됐다고 한다. 그러면서 루멘의 모니터링 활동은 스톰0156과 털라 모두를 아우르게 됐다. “그러는 동안 스톰0156이 예전에 침투했던 아프가니스탄 정부 네트워크에서 수상한 활동이 탐지됐습니다. 스톰0156이 철수한 곳에서 또 다른 수상한 활동이 시작된다? 털라를 의심하게 할 만한 상황이었습니다. 추적해 보니 역시 털라가 자신들의 악성 코드인 투대시(Two-Dash)를 아프가니스탄 정부 네트워크에 심고 있다는 정황을 찾아낼 수 있었습니다.”
그 외에도 여러 아프가니스탄 IP 주소에서 털라의 것으로 보이는 스톰0156 트래픽이 관찰됐고, 분석한 결과 세 개의 IP 주소에서는 딱 일주일 동안만 유지되던 활동이 있었음을 알게 됐다. “털라가 장기적인 접근보다 단기적인 공격을 하기로 했음을 알 수 있습니다. 하지만 다른 곳에서는 APT 조직답게 오랜 기간 머물며 많은 데이터를 가지고 갔음을 알아냈습니다.”
아프가니스탄에 인도까지
스톰0156을 이용한 털라의 공격은 아프가니스탄만을 대상으로 하고 있지 않았다. 인도 정부와 군도 이들의 표적이었다. “이번에도 스톰0156이 마련한 공격 인프라의 일부를 활용했습니다. 사실 털라는 스톰0156의 인프라 전부에 접근할 수 있었지만, 7개 노드만 사용하는 모습을 보이기도 했습니다. 그렇다는 건 이들이 특정 공격 대상을 염두에 두고 작전을 실시했다는 뜻이 됩니다. 광범위한 공격 대신 정교한 표적 공격을 하려 했다는 것이죠.”
털라의 인도 정찰 활동은 2024년 5월부터 11월까지 진행된 것으로 분석됐다. “분석 과정에서 이전에 스톰0156이 웨이스콧(Waiscot)이라는 멀웨어를 활용했다는 것이 파악됐습니다. 웨이스콧은 이전까지 한 번도 발견된 적이 없던 멀웨어로, 일종의 트로이목마로 분석됐습니다. 스톰0156도 인도의 공격 대상들에만 이 멀웨어를 사용한 것으로 보입니다. 스톰0156이 이 멀웨어를 가지고 인도를 공격한 건 2022년부터인 것으로 조사됐습니다.”
그 외에도 스톰0156은 액션랫(ActionRAT)이라는 멀웨어를 사용해 인도 기관들을 공격해 왔었다. 이 활동의 경우 2022년부터 2024년까지 이어졌다. “재미있는 건 털러가 인도를 공격할 때는 자신들의 멀웨어를 사용하지 않았다는 겁니다. 아마 스톰0156의 인프라만이 아니라 도구까지 자기들 것처럼 활용한 것으로 추정되긴 합니다만 확실하지는 않습니다. 아니면 스톰0156의 인프라를 통해 전혀 다른 일을 했을 수도 있습니다. 이 역시 확실한 건 아닙니다.”
‘확실하지 않은 점’이 많다는 건 털라가 다른 공격자들의 인프라를 무단 사용하는 전략의 큰 장점을 보여준다. 바로 흔적을 감추고 추적에 혼선을 가져다주는 것이다. “추적을 받으면 공격자의 전략과 기술이 드러나고, 그런 정보는 방어자들에게 힘이 됩니다. 뒤에 있을 공격이 어려워진다는 것이죠. 그렇기 때문에 공격자들은 난독화 등의 기술을 통해 추적을 최대한 따돌리려고 합니다.”
털라, 주목해야 할 그룹
루멘은 이번 사안을 통해 털라가 얼마나 위협적이며, 꾸준히 주시할 만한 가치가 있는 그룹인지가 확인됐다고 주장한다. “자신들의 목적을 달성하기 위해 정교한 기술을 지속적으로 사용하는 자들입니다. 추적을 따돌리기 위해 보통의 공격 그룹들은 오픈소스 도구를 사용하거나 프록시 기술을 활용하는 편인데, 이들은 아예 다른 APT를 속이려듭니다. 그러면서 다른 APT의 인프라와 도구까지 훔쳐 활용하기까지 하니, 이들은 적어도 다른 APT 조직보다 한 단계 위에 있다고도 할 수 있습니다.”
한편 루멘은 이 두 그룹이 사용하던 인프라를 전부 차단하고 조사 과정에서 식별된 침해지표를 공개했다. 그러면서 털라와 같은 그룹에 대한 방어 대책을 세울 때 고려해야 할 것들을 권장하기도 했다. “침해지표와 위협 시그니처를 정기적으로 업데이트 해야 합니다. 또한 네트워크 내 횡적 움직임에 대한 징후를 중앙에서 모니터링할 수 있도록 조치를 취하는 게 좋습니다. 결국 공격자들의 인프라라는 것은 대부분 최초 침투를 위한 것이고, 실제 공격은 횡적 이동을 통해 일어나니까요. 최초 침투를 100% 봉쇄할 수 없다면 횡적 움직임을 막는 게 차선책입니다. 네트워크에서부터 나가는 대량의 데이터도 파악할 수 있도록 해야 합니다.”
3줄 요약
1. 러시아의 해킹 그룹 털라, 파키스탄의 해킹 그룹을 자신의 수족처럼 활용.
2. 파키스탄 APT 조직인 스톰0156이 마련한 공격 인프라를 통해 아프가니스탄과 인도 공격.
3. 자신의 흔적을 감추는 노력 자체는 흔한데, 남의 인프라를 활용하는 건 드문 일.
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 해커들이 해커들을 해킹하는 건 꽤나 흔히 있는 일인데도 잘 알려지지 않은 사실이다. 그런데 최근 러시아의 APT 단체가 파키스탄의 APT 단체를 해킹한 후 수년 동안 이용해오고 있었다는 정황이 새롭게 드러나면서, 이 잊힐 뻔한 현상을 상기할 수 있게 됐다. 보안 업체 루멘테크놀로지스(Lumen Technologies)가 이에 대해 상세히 밝혔다.
[이미지 = gettyimagesbank]
문제의 러시아 APT 조직은 털라(Turla)다. 시크릿블리자드(Secret Blizzard)라는 이름으로도 불린다. 이들에게 당한 파키스탄의 APT 조직은 스톰0156(Storm-0156)이다. 털라는 스톰0156의 C&C 노드 33개에 침투했고, 그럼으로써 스톰0156의 공격 인프라를 마치 자신의 것처럼 사용하는 게 가능했다. 2022년 12월부터 이 작전은 성공적으로 수행된 것으로 조사됐다. 적어도 2023년 중반까지 그런 상황이 이어진 것으로 보인다. 스톰0156이 정찰 활동 혹은 스파이 활동에 집중하고 있는 그룹이었으므로 털라는 스톰0156이 얻어낸 정보를 공짜로 가져갈 수 있었을 거라고 루멘은 설명한다.
“털라는 특이한 그룹입니다. 다른 해킹 조직들의 C&C 서버에 침투해 자신들의 소유물처럼 활용한다는 점이 이들을 독특하게 만듭니다. 이번 파키스탄 APT 침해 사건은, 이들이 타 APT 인프라를 침해한 네 번째 사건이기도 합니다. 이렇게 함으로써 털라의 공격이 마치 파키스탄 조직의 공격처럼 보이게 되고, 따라서 자신들의 흔적을 효과적으로 감출 수 있게 됩니다. 뿐만 아니라 스톰0156의 성과를 자신들이 가져갈 수도 있게 됩니다.”
파키스탄의 스톰0156, 그리고 털라
루멘의 의하면 스톰0156은 윈도와 리눅스를 위주로 다양한 운영 체제에 맞춰 다양한 해킹 도구를 사용할 줄 아는 그룹이라고 한다. 그 중에는 오픈소스 도구도 있고, 자신들이 직접 제작한 도구도 있었다. 즉 기술적인 측면에서의 유연성은 뛰어난 편에 속한다는 것이다. “하지만 근본적인 침해 전략 자체는 변동이 없습니다. 주로 아프가니스탄과 인도의 단체들을 표적으로 삼는다는 것, 그 중에서도 정부 기관들과 사회 인프라에 해당하는 곳들을 주로 노린다는 것에서 항상 비슷합니다.” 털라가 아프가니스탄과 인도를 몰래 염탐하고 싶었다면 스톰0156을 통하는 게 알맞은 선택일 수 있다는 뜻이다.
루멘의 경우 스톰0156의 인프라가 다른 APT 조직에 의해 침해되었으리라고 예상하지 못한 채 스톰0156을 계속해서 모니터링 하고 있었다고 한다. “2022년 12월부터 2023년 중반까지 스톰0156이 가지고 있던 C&C 노드 11개가 활발히 사용되고 있었다는 걸 알게 됐습니다. 이 중 8개 노드에서 악성 코드 샘플 등을 찾아내기도 했습니다. 그런데 이 11개 노드 모두 새롭게 식별된 가상 사설 서버 세 개와 연결되어 있었습니다. 이전 스톰0156 캠페인에서는 사용되지 않았던, 완전히 새로운 인프라였습니다.”
이것이 힌트가 되어 루멘은 이 인프라를 털라가 이용하고 있다는 걸 알게 됐다고 한다. 그러면서 루멘의 모니터링 활동은 스톰0156과 털라 모두를 아우르게 됐다. “그러는 동안 스톰0156이 예전에 침투했던 아프가니스탄 정부 네트워크에서 수상한 활동이 탐지됐습니다. 스톰0156이 철수한 곳에서 또 다른 수상한 활동이 시작된다? 털라를 의심하게 할 만한 상황이었습니다. 추적해 보니 역시 털라가 자신들의 악성 코드인 투대시(Two-Dash)를 아프가니스탄 정부 네트워크에 심고 있다는 정황을 찾아낼 수 있었습니다.”
그 외에도 여러 아프가니스탄 IP 주소에서 털라의 것으로 보이는 스톰0156 트래픽이 관찰됐고, 분석한 결과 세 개의 IP 주소에서는 딱 일주일 동안만 유지되던 활동이 있었음을 알게 됐다. “털라가 장기적인 접근보다 단기적인 공격을 하기로 했음을 알 수 있습니다. 하지만 다른 곳에서는 APT 조직답게 오랜 기간 머물며 많은 데이터를 가지고 갔음을 알아냈습니다.”
아프가니스탄에 인도까지
스톰0156을 이용한 털라의 공격은 아프가니스탄만을 대상으로 하고 있지 않았다. 인도 정부와 군도 이들의 표적이었다. “이번에도 스톰0156이 마련한 공격 인프라의 일부를 활용했습니다. 사실 털라는 스톰0156의 인프라 전부에 접근할 수 있었지만, 7개 노드만 사용하는 모습을 보이기도 했습니다. 그렇다는 건 이들이 특정 공격 대상을 염두에 두고 작전을 실시했다는 뜻이 됩니다. 광범위한 공격 대신 정교한 표적 공격을 하려 했다는 것이죠.”
털라의 인도 정찰 활동은 2024년 5월부터 11월까지 진행된 것으로 분석됐다. “분석 과정에서 이전에 스톰0156이 웨이스콧(Waiscot)이라는 멀웨어를 활용했다는 것이 파악됐습니다. 웨이스콧은 이전까지 한 번도 발견된 적이 없던 멀웨어로, 일종의 트로이목마로 분석됐습니다. 스톰0156도 인도의 공격 대상들에만 이 멀웨어를 사용한 것으로 보입니다. 스톰0156이 이 멀웨어를 가지고 인도를 공격한 건 2022년부터인 것으로 조사됐습니다.”
그 외에도 스톰0156은 액션랫(ActionRAT)이라는 멀웨어를 사용해 인도 기관들을 공격해 왔었다. 이 활동의 경우 2022년부터 2024년까지 이어졌다. “재미있는 건 털러가 인도를 공격할 때는 자신들의 멀웨어를 사용하지 않았다는 겁니다. 아마 스톰0156의 인프라만이 아니라 도구까지 자기들 것처럼 활용한 것으로 추정되긴 합니다만 확실하지는 않습니다. 아니면 스톰0156의 인프라를 통해 전혀 다른 일을 했을 수도 있습니다. 이 역시 확실한 건 아닙니다.”
‘확실하지 않은 점’이 많다는 건 털라가 다른 공격자들의 인프라를 무단 사용하는 전략의 큰 장점을 보여준다. 바로 흔적을 감추고 추적에 혼선을 가져다주는 것이다. “추적을 받으면 공격자의 전략과 기술이 드러나고, 그런 정보는 방어자들에게 힘이 됩니다. 뒤에 있을 공격이 어려워진다는 것이죠. 그렇기 때문에 공격자들은 난독화 등의 기술을 통해 추적을 최대한 따돌리려고 합니다.”
털라, 주목해야 할 그룹
루멘은 이번 사안을 통해 털라가 얼마나 위협적이며, 꾸준히 주시할 만한 가치가 있는 그룹인지가 확인됐다고 주장한다. “자신들의 목적을 달성하기 위해 정교한 기술을 지속적으로 사용하는 자들입니다. 추적을 따돌리기 위해 보통의 공격 그룹들은 오픈소스 도구를 사용하거나 프록시 기술을 활용하는 편인데, 이들은 아예 다른 APT를 속이려듭니다. 그러면서 다른 APT의 인프라와 도구까지 훔쳐 활용하기까지 하니, 이들은 적어도 다른 APT 조직보다 한 단계 위에 있다고도 할 수 있습니다.”
한편 루멘은 이 두 그룹이 사용하던 인프라를 전부 차단하고 조사 과정에서 식별된 침해지표를 공개했다. 그러면서 털라와 같은 그룹에 대한 방어 대책을 세울 때 고려해야 할 것들을 권장하기도 했다. “침해지표와 위협 시그니처를 정기적으로 업데이트 해야 합니다. 또한 네트워크 내 횡적 움직임에 대한 징후를 중앙에서 모니터링할 수 있도록 조치를 취하는 게 좋습니다. 결국 공격자들의 인프라라는 것은 대부분 최초 침투를 위한 것이고, 실제 공격은 횡적 이동을 통해 일어나니까요. 최초 침투를 100% 봉쇄할 수 없다면 횡적 움직임을 막는 게 차선책입니다. 네트워크에서부터 나가는 대량의 데이터도 파악할 수 있도록 해야 합니다.”
3줄 요약
1. 러시아의 해킹 그룹 털라, 파키스탄의 해킹 그룹을 자신의 수족처럼 활용.
2. 파키스탄 APT 조직인 스톰0156이 마련한 공격 인프라를 통해 아프가니스탄과 인도 공격.
3. 자신의 흔적을 감추는 노력 자체는 흔한데, 남의 인프라를 활용하는 건 드문 일.
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)