.gif)
反 러시아 인물들 노리던 TG-4127, 서방 국가들도 공격
군 요원들 및 그 가족들에 대한 정보도 광범위하게 수집 중
[보안뉴스 문가용] 러시아의 해킹 단체가 비틀리(Bitly)라는 단축 URL을 사용하여 스피어피싱용 악성 링크를 감춘 것으로 드러났다. 이들이 노린 것은 1천 8백여 개의 구글 계정으로, 대부분 미군 및 정부 요원들의 것임이 밝혀졌다.
▲ 집요한 관심... 이쯤 되면 팬 수준
보안 전문업체인 시큐어웍스(SecureWorks)의 전문가들은 TG-4127(Threat Group 4127)이라고 분류한 한 해킹 단체가 2015년 중반쯤부터 진행한 스피어피싱 캠페인을 먼저 언급했다. “당시는 대부분 러시아나 전 소비에트 연방 소속 국가들의 시민들을 주로 노렸습니다. 특히 러시아 연방에 비판적인 목소리를 내는 인사들을 표적으로 삼았죠.”
당시부터 TG-4127을 쫓았던 시큐어웍스는 “이들이 하는 공격 중 몇 가지가 ATP28, 소퍼시(Sofacy), 세드닛(Sednit), 팬시 베어(Fancy Bear), 폰 스톰(Pawn Storm) 등으로 보도되곤 했다”며 “무슨 이름이든 결국 공통분모는 러시아 정부이며, 이는 TG-4127을 꾸준히 추적한 우리도 꽤나 자신감 있게 동의할 수 있는 부분”이라고 설명했다.
최근 TG-4127을 계정이름에 -google.com을 붙인 도메인을 등록해 스푸핑된 구글 로그인 페이지를 호스팅 했다. 그리고 비틀리를 사용해 그 도메인을 숨겨 스피어피싱 이메일에 해당 링크가 눈에 띄지 않도록 했다. 그리고 1881명의 구글 계정 사용자들이 걸려들었다. TG-4127이 이번 캠페인에 사용한 피싱용 URL의 총 개수는 4396개다.
2015년 3월부터 2015년 9월 사이에 악성 URL들의 59%에 대한 접근이 기록되었다. “즉 피싱 이메일을 받은 사람들이 대부분 이메일을 열어보았다는 뜻입니다. 그리고 대부분 멀웨어에 감염이 되었겠죠.”
시큐어웍스는 피싱 공격을 당한 사람 대부분이 여전히 러시아 및 전 소비에트 연방 소속 국가의 국민들을 것이라고 확신하고 있다. “하지만 미국과 서유럽 국민들로도 일정 부분 공격이 확장되었을 것이라고 봅니다.”
서방 국가들 중 TG-4127의 표적이 되고 있는 건 크게 두 부류로 나뉜다. 러시아에 대한 비판을 공개적으로 하는 기자, 활동가, NGO 단체, 작가 등과 러시아 정부에게 이익이 될 만한 정보를 갖춘 이들로 미국 군 및 정부 요원, 국방 산업체 등이다.
TG-4127은 또한 군인의 배우자나 가족 이야기를 다루는 작가도 꽤나 집중해서 노렸다고 시큐어웍스는 밝힌다. “이들이 노린 작가 및 기자의 22%가 군인의 가족들을 다루고 있는 사람들입니다. 러시아나 우크라이나 전문 지식을 보유한 사람들은 53% 정도고요.” 이에 대해 시큐어웍스는 “군에 대한 광범위한 정보를 모으고 있는 중”이라고 분석했다. 또한 TG-4127의 표적이 된 군 관련 요원 및 그 가족들 중 64%가 미국인이었다는 사실도 드러났다.
정보보안 산업 역시도 이들의 표적이라고 시큐어웍스는 밝혔다. NATO의 보안 컨설턴트나 국방부나 군 관련 시설에 보안 솔루션을 공급하는 업체, 다국적 IT 기술 기업들도 이들의 주 표적이었기 때문이다. 아직 정확한 피해자 혹은 피해 기업의 규모는 밝혀지지 않았다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
군 요원들 및 그 가족들에 대한 정보도 광범위하게 수집 중
[보안뉴스 문가용] 러시아의 해킹 단체가 비틀리(Bitly)라는 단축 URL을 사용하여 스피어피싱용 악성 링크를 감춘 것으로 드러났다. 이들이 노린 것은 1천 8백여 개의 구글 계정으로, 대부분 미군 및 정부 요원들의 것임이 밝혀졌다.
▲ 집요한 관심... 이쯤 되면 팬 수준
보안 전문업체인 시큐어웍스(SecureWorks)의 전문가들은 TG-4127(Threat Group 4127)이라고 분류한 한 해킹 단체가 2015년 중반쯤부터 진행한 스피어피싱 캠페인을 먼저 언급했다. “당시는 대부분 러시아나 전 소비에트 연방 소속 국가들의 시민들을 주로 노렸습니다. 특히 러시아 연방에 비판적인 목소리를 내는 인사들을 표적으로 삼았죠.”
당시부터 TG-4127을 쫓았던 시큐어웍스는 “이들이 하는 공격 중 몇 가지가 ATP28, 소퍼시(Sofacy), 세드닛(Sednit), 팬시 베어(Fancy Bear), 폰 스톰(Pawn Storm) 등으로 보도되곤 했다”며 “무슨 이름이든 결국 공통분모는 러시아 정부이며, 이는 TG-4127을 꾸준히 추적한 우리도 꽤나 자신감 있게 동의할 수 있는 부분”이라고 설명했다.
최근 TG-4127을 계정이름에 -google.com을 붙인 도메인을 등록해 스푸핑된 구글 로그인 페이지를 호스팅 했다. 그리고 비틀리를 사용해 그 도메인을 숨겨 스피어피싱 이메일에 해당 링크가 눈에 띄지 않도록 했다. 그리고 1881명의 구글 계정 사용자들이 걸려들었다. TG-4127이 이번 캠페인에 사용한 피싱용 URL의 총 개수는 4396개다.
2015년 3월부터 2015년 9월 사이에 악성 URL들의 59%에 대한 접근이 기록되었다. “즉 피싱 이메일을 받은 사람들이 대부분 이메일을 열어보았다는 뜻입니다. 그리고 대부분 멀웨어에 감염이 되었겠죠.”
시큐어웍스는 피싱 공격을 당한 사람 대부분이 여전히 러시아 및 전 소비에트 연방 소속 국가의 국민들을 것이라고 확신하고 있다. “하지만 미국과 서유럽 국민들로도 일정 부분 공격이 확장되었을 것이라고 봅니다.”
서방 국가들 중 TG-4127의 표적이 되고 있는 건 크게 두 부류로 나뉜다. 러시아에 대한 비판을 공개적으로 하는 기자, 활동가, NGO 단체, 작가 등과 러시아 정부에게 이익이 될 만한 정보를 갖춘 이들로 미국 군 및 정부 요원, 국방 산업체 등이다.
TG-4127은 또한 군인의 배우자나 가족 이야기를 다루는 작가도 꽤나 집중해서 노렸다고 시큐어웍스는 밝힌다. “이들이 노린 작가 및 기자의 22%가 군인의 가족들을 다루고 있는 사람들입니다. 러시아나 우크라이나 전문 지식을 보유한 사람들은 53% 정도고요.” 이에 대해 시큐어웍스는 “군에 대한 광범위한 정보를 모으고 있는 중”이라고 분석했다. 또한 TG-4127의 표적이 된 군 관련 요원 및 그 가족들 중 64%가 미국인이었다는 사실도 드러났다.
정보보안 산업 역시도 이들의 표적이라고 시큐어웍스는 밝혔다. NATO의 보안 컨설턴트나 국방부나 군 관련 시설에 보안 솔루션을 공급하는 업체, 다국적 IT 기술 기업들도 이들의 주 표적이었기 때문이다. 아직 정확한 피해자 혹은 피해 기업의 규모는 밝혀지지 않았다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
(0).jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
