5년 동안 활동하면서 공격한 건 7개 조직의 36개 엔드포인트
예전에 등장했던 플레임 멀웨어와 일부 유사... 서방과의 연계성 의심
[보안뉴스 문가용] 시만텍(Symantec)이 새로운 사이버 스파이 단체를 발견해 해당 단체를 스트라이더(Strider)라 이름을 붙였다. 스트라이더는 공격 대상을 선정하는 데 있어서 매우 까다로워 5년 동안 7개 조직과 36개 엔드포인트를 공격하는 것에 그쳤다. 주로 렘섹(Remsec)이라는 윈도우용 정보 탈취 멀웨어를 사용한다고 한다.
▲ 기승전반지의제왕팬보이들
스트라이더가 공격한 일곱 개 조직은 러시아의 몇몇 단체, 중국의 항공사 하나, 벨기에 주재 대사관 한 곳, 스웨덴의 조직 하나다. 시만텍은 “이렇게 공격 대상이 적은 경우는 처음 본다”며 “아무리 높은 수준의 공격을 하는 고차원적인 단체라도 이렇게까지 공격을 아끼는 건 보기 힘들다”고 설명했다.
시만텍의 위협 첩보 분석가인 존 디마지오(Jon Dimaggio)는 “그래서 스트라이더에 대한 관심이 높다”고 말한다. “시간과 돈을 들여 멀웨어를 직접 만들어놓고, 겨우 이 정도의 공격만 감행했다니, 매우 엉뚱한 거죠. 마치 정성들여 5년 동안 완벽한 곡선의 야구 방망이를 깎아놓고 스윙연습만 몇 번 하는 것처럼요.” 또한 이렇게까지 특정 소수에게만 공격을 집중했다는 건 누군가 정찰 및 사전 작업에 큰 공을 들였다는 것을 의미하기도 한다.
시만텍은 아직까지 스트라이더가 어느 지역 혹은 국가를 기반으로 활동하고 있는지, 렘섹의 최초 저자가 누구인지에 대해서는 명확하게 밝히고 있지 않다. 다만 자사 블로그를 통해 “국가가 후원하는 해킹 단체일 가능성이 높다”고만 언급했을 뿐이다.
한 가지 시만텍이 더 공개한 정보가 있는데, 바로 이전 사이버 스파이들이 애용하던 멀웨어였던 플레임(Flame)과 렘섹의 연관성이다. 플레임은 굉장히 정교하고 수준 높은 멀웨어로 주로 중동의 단체들을 겨냥한 사이버 스파이 공격에 활용되었다. 출처가 아직도 명확히 밝혀지지 않았지만 전문가들 사이에서는 서방 국가들이 저자일 것이라고 보고 있다.
“이번에 발견된 렘섹의 몇몇 모듈이 루아(Lua)라는 프로그래밍 언어로 작성된 것이 드러났습니다. 플레임의 모듈 역시 루아로 작성되어 있었지요. 멀웨어가 루아 언어로 작성된 것도 굉장히 드문 경우이고, 멀웨어가 모듈화 되었다는 것 역시 드문 경운데, 이 두 가지 특징이 겹친다는 건 예삿일이 아니라고 봅니다. 물론 완전히 우연일 수도 있지만요.”
디마지오는 “렘섹의 저자가 루아 프로그래밍 언어를 사용한 건 ‘자가 보호 메커니즘’에서였다”는 부분을 강조한다. “우리가 흔히 보는 보안 툴들의 논리 구조와 탐지 엔진들은 이렇게 보기 드문 언어로 작성된 부분을 놓치기 쉽습니다. 즉 여러 방어 장치를 우회하기 위해 루아를 사용했다는 사실이 우연일 가능성이 낮다는 것이죠.”
렘섹의 요소들 중 일부는 실행가능한 BLOB(binary large object) 형태를 띄고 있었는데, 이 역시 매우 드문 경우다. 디마지오는 “사실 내가 멀웨어를 만들었어도 이렇게 했을 것”이라고 설명한다. 또한 “렘섹의 여러 기능들은 네트워크 상에서만 구현되는데, 이는 컴퓨터의 메모리에서만 실행되고 디스크에 저장되지 않는다는 뜻”이다. 찾기가 어렵다는 것.
그밖에 루아로 되어 있는 렘섹 모듈로는 네트워크 로더, 호스트 로더, 네트워크 리스너, 기본 백도어, 읽고 쓰고 삭제가 가능한 고급 백도어, HTTP 백도어, 키로거 등이 있다. HTTP 백도어에는 C&C 서버의 URL 정보가 들어있다고 한다.
키로거의 코드에는 사우론(Sauron)이라는 단어가 들어 있는데, 사우론은 ‘반지의 제왕’에 등장하는, 모든 것을 주시하는 눈이다. “사실 이 사우론이라는 단어를 보고 이 스파이 단체를 스트라이더라고 이름 붙인 겁니다. 스트라이더 역시 반지의 제왕에 등장하는 이름으로 ‘아라곤’의 별칭 같은 것이죠.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
예전에 등장했던 플레임 멀웨어와 일부 유사... 서방과의 연계성 의심
[보안뉴스 문가용] 시만텍(Symantec)이 새로운 사이버 스파이 단체를 발견해 해당 단체를 스트라이더(Strider)라 이름을 붙였다. 스트라이더는 공격 대상을 선정하는 데 있어서 매우 까다로워 5년 동안 7개 조직과 36개 엔드포인트를 공격하는 것에 그쳤다. 주로 렘섹(Remsec)이라는 윈도우용 정보 탈취 멀웨어를 사용한다고 한다.
▲ 기승전반지의제왕팬보이들
스트라이더가 공격한 일곱 개 조직은 러시아의 몇몇 단체, 중국의 항공사 하나, 벨기에 주재 대사관 한 곳, 스웨덴의 조직 하나다. 시만텍은 “이렇게 공격 대상이 적은 경우는 처음 본다”며 “아무리 높은 수준의 공격을 하는 고차원적인 단체라도 이렇게까지 공격을 아끼는 건 보기 힘들다”고 설명했다.
시만텍의 위협 첩보 분석가인 존 디마지오(Jon Dimaggio)는 “그래서 스트라이더에 대한 관심이 높다”고 말한다. “시간과 돈을 들여 멀웨어를 직접 만들어놓고, 겨우 이 정도의 공격만 감행했다니, 매우 엉뚱한 거죠. 마치 정성들여 5년 동안 완벽한 곡선의 야구 방망이를 깎아놓고 스윙연습만 몇 번 하는 것처럼요.” 또한 이렇게까지 특정 소수에게만 공격을 집중했다는 건 누군가 정찰 및 사전 작업에 큰 공을 들였다는 것을 의미하기도 한다.
시만텍은 아직까지 스트라이더가 어느 지역 혹은 국가를 기반으로 활동하고 있는지, 렘섹의 최초 저자가 누구인지에 대해서는 명확하게 밝히고 있지 않다. 다만 자사 블로그를 통해 “국가가 후원하는 해킹 단체일 가능성이 높다”고만 언급했을 뿐이다.
한 가지 시만텍이 더 공개한 정보가 있는데, 바로 이전 사이버 스파이들이 애용하던 멀웨어였던 플레임(Flame)과 렘섹의 연관성이다. 플레임은 굉장히 정교하고 수준 높은 멀웨어로 주로 중동의 단체들을 겨냥한 사이버 스파이 공격에 활용되었다. 출처가 아직도 명확히 밝혀지지 않았지만 전문가들 사이에서는 서방 국가들이 저자일 것이라고 보고 있다.
“이번에 발견된 렘섹의 몇몇 모듈이 루아(Lua)라는 프로그래밍 언어로 작성된 것이 드러났습니다. 플레임의 모듈 역시 루아로 작성되어 있었지요. 멀웨어가 루아 언어로 작성된 것도 굉장히 드문 경우이고, 멀웨어가 모듈화 되었다는 것 역시 드문 경운데, 이 두 가지 특징이 겹친다는 건 예삿일이 아니라고 봅니다. 물론 완전히 우연일 수도 있지만요.”
디마지오는 “렘섹의 저자가 루아 프로그래밍 언어를 사용한 건 ‘자가 보호 메커니즘’에서였다”는 부분을 강조한다. “우리가 흔히 보는 보안 툴들의 논리 구조와 탐지 엔진들은 이렇게 보기 드문 언어로 작성된 부분을 놓치기 쉽습니다. 즉 여러 방어 장치를 우회하기 위해 루아를 사용했다는 사실이 우연일 가능성이 낮다는 것이죠.”
렘섹의 요소들 중 일부는 실행가능한 BLOB(binary large object) 형태를 띄고 있었는데, 이 역시 매우 드문 경우다. 디마지오는 “사실 내가 멀웨어를 만들었어도 이렇게 했을 것”이라고 설명한다. 또한 “렘섹의 여러 기능들은 네트워크 상에서만 구현되는데, 이는 컴퓨터의 메모리에서만 실행되고 디스크에 저장되지 않는다는 뜻”이다. 찾기가 어렵다는 것.
그밖에 루아로 되어 있는 렘섹 모듈로는 네트워크 로더, 호스트 로더, 네트워크 리스너, 기본 백도어, 읽고 쓰고 삭제가 가능한 고급 백도어, HTTP 백도어, 키로거 등이 있다. HTTP 백도어에는 C&C 서버의 URL 정보가 들어있다고 한다.
키로거의 코드에는 사우론(Sauron)이라는 단어가 들어 있는데, 사우론은 ‘반지의 제왕’에 등장하는, 모든 것을 주시하는 눈이다. “사실 이 사우론이라는 단어를 보고 이 스파이 단체를 스트라이더라고 이름 붙인 겁니다. 스트라이더 역시 반지의 제왕에 등장하는 이름으로 ‘아라곤’의 별칭 같은 것이죠.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
