.gif)
사이버스파이 Turla, 위성통신 취약점 악용해 C&C 서버 위치 숨겨
[보안뉴스 김경애] 러시아 언어를 구사하는 악명 높은 사이버스파이 해커조직인 Turla가 글로벌 위성 네트워크의 보안 취약점을 악용한 사실이 드러났다.
이들은 지난 8년 동안 자신들의 정체를 숨기고 은밀하게 활동하며, 카자흐스탄, 러시아, 중국, 베트남, 미국을 비롯해 45개 이상의 국가에서 수백 대의 컴퓨터를 감염시킨 것으로 조사됐다.
카스퍼스키 랩(Kaspersky Lab) 연구진에 따르면 Turla는 철저히 정체를 숨기기 위해 글로벌 위성 네트워크의 보안 취약점을 활용해 그간 탐지되지 않을 수 있었다고 밝혔다.
이들의 공격 대상은 정부기관과 대사관, 군대, 교육기관, 연구조사기관, 제약회사 등이며, 초기 단계에서는 Epic 백도어가 공격대상의 프로파일링을 한다. 이후 중요도가 높은 대상을 공격하기 위해 활동의 흔적을 감추려고 광범위한 위성 기반 통신 메커니즘을 사용한 것으로 분석됐다.
일반적으로 위성통신은 대개 TV 방송과 보안통신에 사용되는 것으로 알려져 있지만, 인터넷 액세스 제공의 역할도 하고 있다. 주로 인터넷 연결이 불안정하거나 느리거나, 딴 지역에서 위성 통신을 통한 인터넷 액세스 서비스가 사용된다. 특히, 다운스트림 전용 연결은 위성 기반 인터넷 연결 중 가장 널리 사용되면서도 저렴한 방식이다.
이 경우 사용자 PC의 송신 요청은 기존의 회선(유선 또는 GPRS 연결)을 통해 전달되고 모든 수신 트래픽은 위성을 통해 들어온다. 이 기술로 사용자는 비교적 빠른 속도로 다운로드를 실행할 수 있지만, 모든 다운스트림 트래픽이 암호화되지 않은 상태로 PC로 돌아오는 단점이 있다. 때문에 악의적으로는 트래픽을 가로채 사용자가 다운로드한 링크의 모든 데이터에 액세스할 수 있는 위험이 있다.
그런데 Turla 그룹은 이러한 취약점을 다른 방식으로 활용했다. 악성코드 인프라에서 가장 중요한 부분인 C&C(명령·제어) 서버의 위치를 숨기는 데 사용한 것이다. C&C 서버는 공격 대상 시스템에 배포된 악성코드의 ‘본거지’와도 같다. 이러한 서버의 위치를 찾아내면 조사자가 공격 배후의 행위자에 대한 상세 정보를 파악할 수 있다.
먼저 이들은 위성의 다운스트림을 ‘수신’해 온라인에 접속 중인 위성 기반 인터넷 사용자의 IP 주소를 파악한다. 그런 다음 C&C 서버를 숨기는 데 사용할 온라인 IP 주소를 선택한다. 그 후, 선택한 IP로 데이터를 유출하도록 Turla가 감염시킨 컴퓨터에 지시를 내리면 데이터는 기존의 회선을 거쳐 위성 인터넷 제공업체의 텔레포트로 전달된 후 위성에 도달한다. 마지막으로 다시 위성에서 선택된 IP 사용자에게 전달된 것이다.
여기서 흥미로운 사실은 사용자가 이러한 사실을 전혀 알아차리지 못한다는 것. 이는 공격자가 감염된 시스템에 기본적으로 닫혀있는 포트(대부분의 경우)에 데이터를 보내라고 명령하기 때문이다.
합법적 사용자의 PC는 이러한 패킷을 차단하는 반면 포트가 열려 있는 Turla C&C 서버는 유출된 데이터를 받아서 처리한다. 또 다른 흥미로운 점은 Turla 행위자의 전략이 중동이나 아프리카에 위치한 위성 인터넷 연결 공급업체를 사용하는 것으로 가장한다는 점이다.
카스퍼스키랩 전문가들은 Turla 그룹이 콩고, 레바논, 리비아, 니제르, 나이지리아, 소말리아 또는 UAE와 같은 국가에 위치한 공급업체의 IP를 사용한다는 사실을 밝혀냈다.
이러한 국가에서 공격자가 사용하는 위성 빔은 대개 유럽이나 북미 지역에는 전달되지 않으므로 많은 보안사건 조사 팀이 이러한 공격을 조사하는 데 애로사항을 겪고 있다.
카스퍼스키랩 Stefan Tanase 선임 보안연구원은 “그간 카스퍼스키랩 조사팀에서는 공격을 감추는 데 위성 기반의 인터넷 연결을 사용하는 악성코드를 최소 3개 이상 발견했다”며 “이중에서 Turla 그룹이 개발한 악성코드가 가장 흥미로우면서도 독특하다”고 밝혔다.
공격자는 위성 인터넷을 악용해 철저히 자신들의 정체를 감췄으며, 선택한 위성의 신호 전달 범위는 수천 평방 킬로미터에 달하는 것으로 분석됐다. 더욱 큰 문제는 이러한 기법이 점점 널리 전파되고 있다는 것.
이에 대해 그는 “시스템 관리자는 공격에 대비하고 피해를 완화하기 위한 올바른 방어전략을 세워야 한다”고 강조했다.[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
.png)
.jpg){kind=spacer}
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)