.gif)
시만텍과 카스퍼스키 동시 발견, 각각 이름 다르게 붙여
피해자 숫자에서 차이 보여... 카스퍼스키는 USB 사용 정황도 발견
[보안뉴스 문가용] 어제 시만텍에서 보도한 ‘스트라이더’라는 해킹 단체에 대한 또 다른 사실이 드러났다. 스트라이더는 2011년 6월 경부터 활동을 시작했지만 겨우 5개 조직과 36개 엔드포인트만을 공격한 게 전부일 정도로 매우 조심스러운 단체라고 최초 소개되었다. 또한 이들이 사용하는 멀웨어 렘섹(Remsec)이 수년 전 등장했던 플레임(Flame)과 유사한 점이 일부 있다고도 했다.
.jpg)
스트라이더는 보안업체인 시만텍이 붙인 이름이다. 렘섹 멀웨어 코드 중 ‘사우론’이라는 ‘반지의 제왕’에 등장하는 캐릭터 이름이 있어서 그에 맞추기 위해 또 다른 반지의 제왕 캐릭터인 스트라이더를 택한 것이다. 그런데 시만텍과 별개로 해당 그룹을 발견한 업체가 또 있으니 바로 카스퍼스키였다. 카스퍼스키 역시 사우론이라는 걸 발견해 이름을 붙였는데, 조금은 심심한 프로젝트사우론(ProjectSauron)이었다. 즉 프로젝트사우론과 스트라이더는 같은 단체를 지칭한다.
카스퍼스키에 따르면 프로젝트사우론은 국가의 후원을 받는 위협 단체로 여러 정부 기관 및 조직들을 주로 노린다고 한다. 또한 공격할 때마다 대상에 따라 공격 툴을 바꿨다고도 설명하고 있다. “게다가 그 공격 툴이 무엇이든 기존의 보안 도구로는 잡기가 힘든 것이 공통점입니다.”
프로젝트사우론은 데이터를 빼내기 위해 사용했던 핵심 페이로드를 공격 표적에 따라 적당히 바꾸고, 같은 걸 절대 두 번 사용하지 않았다. “합법적인 이메일과 DNS 등 데이터를 탈취하는 경로 자체도 매우 다양한데, 멀웨어 마저 중복해서 사용하지 않으니 추적이 불가능에 가까울 정도로 어렵고, 어지간해서는 들키지 않습니다. 네트워크에 아주 오랫동안 머물러 있는 것이 보통이었죠.” 카스퍼스키의 설명이다.
여기까지는 어제 있었던 시만텍의 보고와 비슷하다. 그러나 시만텍에서 7개 조직을 언급한데 반해 카스퍼스키는 30개 조직이 당했다고 주장한다. “러시아, 르완다, 이란 등의 조직들 30여 개가 프로젝트사우론에 당했다고 보입니다. 아마 이게 다가 아닐 겁니다. 이탈리아어를 모국어로 사용하는 국가들의 조직이 1차로 위험해 보이고, 군사, 과학 연구 기관, 통신 업체, 금융 기관들이 가장 첫 손에 꼽히는 잠재적 피해자입니다.”
카스퍼스키는 또한 프로젝트사우론이 합법적인 정상 소프트웨어 업데이트 스크립트를 활용해 자신들이 개발한 공격 모듈을 다운로드시켰다고 설명했다. “통신, 음성, 이메일, 문서 교환 기록을 암호화할 때 사용하는 시스템과 기반구조를 주로 노립니다. 특히 암호화 소프트웨어 요소들과 키, 환경설정 파일, 암호화된 메시지를 릴레이 시켜주는 서버 위치에 관심이 많아 보였습니다.”
중요한 건 사우론프로젝트가 특별히 개조된 USB 드라이브를 사용해 망 분리 된 시스템까지도 노린 흔적이 있었다는 것이다. 이 USB들에는 숨겨진 공간이 있고, 여기에 훔친 정보가 저장이 되었다. 하지만 아직까지 사우론프로젝트가 어떤 경위와 상황 속에서 해당 USB들을 사용할 수 있었는지는 파악이 안 된 상태다. 카스퍼스키가 이 사실을 어떻게 알아낸 건지도 아직 밝혀지지 않았다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
피해자 숫자에서 차이 보여... 카스퍼스키는 USB 사용 정황도 발견
[보안뉴스 문가용] 어제 시만텍에서 보도한 ‘스트라이더’라는 해킹 단체에 대한 또 다른 사실이 드러났다. 스트라이더는 2011년 6월 경부터 활동을 시작했지만 겨우 5개 조직과 36개 엔드포인트만을 공격한 게 전부일 정도로 매우 조심스러운 단체라고 최초 소개되었다. 또한 이들이 사용하는 멀웨어 렘섹(Remsec)이 수년 전 등장했던 플레임(Flame)과 유사한 점이 일부 있다고도 했다.
스트라이더는 보안업체인 시만텍이 붙인 이름이다. 렘섹 멀웨어 코드 중 ‘사우론’이라는 ‘반지의 제왕’에 등장하는 캐릭터 이름이 있어서 그에 맞추기 위해 또 다른 반지의 제왕 캐릭터인 스트라이더를 택한 것이다. 그런데 시만텍과 별개로 해당 그룹을 발견한 업체가 또 있으니 바로 카스퍼스키였다. 카스퍼스키 역시 사우론이라는 걸 발견해 이름을 붙였는데, 조금은 심심한 프로젝트사우론(ProjectSauron)이었다. 즉 프로젝트사우론과 스트라이더는 같은 단체를 지칭한다.
카스퍼스키에 따르면 프로젝트사우론은 국가의 후원을 받는 위협 단체로 여러 정부 기관 및 조직들을 주로 노린다고 한다. 또한 공격할 때마다 대상에 따라 공격 툴을 바꿨다고도 설명하고 있다. “게다가 그 공격 툴이 무엇이든 기존의 보안 도구로는 잡기가 힘든 것이 공통점입니다.”
프로젝트사우론은 데이터를 빼내기 위해 사용했던 핵심 페이로드를 공격 표적에 따라 적당히 바꾸고, 같은 걸 절대 두 번 사용하지 않았다. “합법적인 이메일과 DNS 등 데이터를 탈취하는 경로 자체도 매우 다양한데, 멀웨어 마저 중복해서 사용하지 않으니 추적이 불가능에 가까울 정도로 어렵고, 어지간해서는 들키지 않습니다. 네트워크에 아주 오랫동안 머물러 있는 것이 보통이었죠.” 카스퍼스키의 설명이다.
여기까지는 어제 있었던 시만텍의 보고와 비슷하다. 그러나 시만텍에서 7개 조직을 언급한데 반해 카스퍼스키는 30개 조직이 당했다고 주장한다. “러시아, 르완다, 이란 등의 조직들 30여 개가 프로젝트사우론에 당했다고 보입니다. 아마 이게 다가 아닐 겁니다. 이탈리아어를 모국어로 사용하는 국가들의 조직이 1차로 위험해 보이고, 군사, 과학 연구 기관, 통신 업체, 금융 기관들이 가장 첫 손에 꼽히는 잠재적 피해자입니다.”
카스퍼스키는 또한 프로젝트사우론이 합법적인 정상 소프트웨어 업데이트 스크립트를 활용해 자신들이 개발한 공격 모듈을 다운로드시켰다고 설명했다. “통신, 음성, 이메일, 문서 교환 기록을 암호화할 때 사용하는 시스템과 기반구조를 주로 노립니다. 특히 암호화 소프트웨어 요소들과 키, 환경설정 파일, 암호화된 메시지를 릴레이 시켜주는 서버 위치에 관심이 많아 보였습니다.”
중요한 건 사우론프로젝트가 특별히 개조된 USB 드라이브를 사용해 망 분리 된 시스템까지도 노린 흔적이 있었다는 것이다. 이 USB들에는 숨겨진 공간이 있고, 여기에 훔친 정보가 저장이 되었다. 하지만 아직까지 사우론프로젝트가 어떤 경위와 상황 속에서 해당 USB들을 사용할 수 있었는지는 파악이 안 된 상태다. 카스퍼스키가 이 사실을 어떻게 알아낸 건지도 아직 밝혀지지 않았다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
