30여개국 130여개 단체 공격 당해... 스피어피싱이 주요 기법
정치적이기보다는 금전적인 목적 성취 위해 움직이는 것으로 보여
[보안뉴스 문가용] 엔지니어링 및 산업 부문에 있는 중소기업들을 겨냥한 표적형 공격이 전 세계적으로 벌어지고 있다. 현재까지 약 130여개 조직들이 공격을 당했다. 일명 구울 작전(Operation Ghoul)으로 카스퍼스키의 연구원들이 발견했다. 구울 작전을 벌이는 공격자들은 쉽게 구할 수 있는 멀웨어와 스피어피싱 메일 기법을 사용해 피해자 시스템에 침투, 데이터를 훔쳐내고 있다고 한다.
▲ 정신차려! 아무 메일이나 좀 열지마!
놀라운 건 130여개의 조직이 30여개 국가에 걸쳐 있다는 것이다. “전 세계적이라고 불러도 무방할 정도로 여기저기서 공격이 벌어지고 있긴 한데, 특히 중동 쪽에서 활발한 활동력을 보이고 있습니다.” 표적이 되고 있는 조직들이 엔지니어링 및 산업 부문에 집중되어 있기 때문에, 공격의 주체들이 ‘국가 주요 시설’을 타격하기 위해 이런 일을 벌인다고 볼 수 있지만 카스퍼스키는 “금전적인 이익을 추구하는 것으로 보인다”고 설명한다.
“시작부터 정치적인 움직임보다는 금전적인 이득을 취하려는 모습을 보여 왔습니다. 피해자들의 은행계좌 정보나 돈이 될 만한 지적재산을 주로 노리고 있거든요.” 카스퍼스키의 수석 보안 연구원인 모하마드 아민 하스비니(Mohamad Amin Hasbini)의 설명이다.
구울 작전이 시작된 건 2015년 3월로 보인다. 당시 호크아이(HawkEye)라는 유명 멀웨어 공급자가 개발한 것으로 보이는 악성 파일이 첨부된 스피어피싱 메일 공격을 퍼부어댔다. 악성 파일은 압축된 실행 파일로, 키스트로크 로깅 툴이 들어 있어 암호를 훔치거나 FTP 서버 크리덴셜, 클립보드 데이터, 사용자 계정 정보 등을 훔쳐내는 데에 유용했다.
이렇게 훔쳐낸 정보들은 원격 C&C 서버로 전송되고, 공격자들은 그 정보를 암시장에 팔았다. 카스퍼스키가 IP를 추적해보니 다양한 멀웨어를 사용한 캠페인이 운영되고 있는 시스템에 도달할 수 있었다고 한다. “엔지니어링 업체 외에도 제약 업체, 교육 단체 등도 표적이 되고 있었습니다. UAE, 이집트, 사우디아라비아, 파키스탄, 독일, 스페인이 주로 당했습니다.”
카스퍼스키에 따르면 최근 발견되는 사이버 공격의 대부분이 ‘표적형’이라고 한다. “6월에 발견한 공격들 중 70%가 UAE의 단체 및 조직들을 겨냥한 공격이었어요. UAE의 대형 은행들로부터 온 것처럼 가장한 가짜 이메일로 많은 공격이 일어났었죠.”
또한 구울 작전에서 특이할만한 건, 공격 자체는 매우 단순한 편에 속하는데 성공률이 낮지 않다는 점이다. “수상한 메일에 수상한 첨부파일이 자꾸만 일반 사용자들의 손에 의해 열려진다는 게 놀라울 지경입니다.”
일반적으로 산업 시설 및 엔지니어링 기업을 노리는 건 1) 국가 시설 타격이나 2) 지적재산 판매를 통한 금전적인 이득을 얻기 위해서이고 3) 경쟁 업체가 사업기밀을 훔쳐 시장에서 우위를 점하기 위해서다. 또한 대부분 국가가 배후에 있는 세력들이 이런 공격들을 감행한다.
구울 작전이 이런 일반적인 경우에 속한다고도 볼 수 있지만 1) 정부가 후원하는 해커들의 보여주는 높은 수준의 공격 기술이 아직까지 나타난 바 없고 2) 특정 정치적 목적이 없이 ‘무작위로’ 공격 표적을 정한다는 것에서 상당한 차이가 나타나기도 한다. 카스퍼스키는 “이 작전이 계속해서 진행되는 한, 아무런 준비를 하지 않고 있다가 당하는 기업들이 많아질 것”이라고 경고한다.
한편 카스퍼스키는 구울 작전에 당했는지 확인해볼 수 있는 IoC(침해지표)를 블로그에 올려두었다. 이 페이지 하단 부분에 나온다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
정치적이기보다는 금전적인 목적 성취 위해 움직이는 것으로 보여
[보안뉴스 문가용] 엔지니어링 및 산업 부문에 있는 중소기업들을 겨냥한 표적형 공격이 전 세계적으로 벌어지고 있다. 현재까지 약 130여개 조직들이 공격을 당했다. 일명 구울 작전(Operation Ghoul)으로 카스퍼스키의 연구원들이 발견했다. 구울 작전을 벌이는 공격자들은 쉽게 구할 수 있는 멀웨어와 스피어피싱 메일 기법을 사용해 피해자 시스템에 침투, 데이터를 훔쳐내고 있다고 한다.
▲ 정신차려! 아무 메일이나 좀 열지마!
놀라운 건 130여개의 조직이 30여개 국가에 걸쳐 있다는 것이다. “전 세계적이라고 불러도 무방할 정도로 여기저기서 공격이 벌어지고 있긴 한데, 특히 중동 쪽에서 활발한 활동력을 보이고 있습니다.” 표적이 되고 있는 조직들이 엔지니어링 및 산업 부문에 집중되어 있기 때문에, 공격의 주체들이 ‘국가 주요 시설’을 타격하기 위해 이런 일을 벌인다고 볼 수 있지만 카스퍼스키는 “금전적인 이익을 추구하는 것으로 보인다”고 설명한다.
“시작부터 정치적인 움직임보다는 금전적인 이득을 취하려는 모습을 보여 왔습니다. 피해자들의 은행계좌 정보나 돈이 될 만한 지적재산을 주로 노리고 있거든요.” 카스퍼스키의 수석 보안 연구원인 모하마드 아민 하스비니(Mohamad Amin Hasbini)의 설명이다.
구울 작전이 시작된 건 2015년 3월로 보인다. 당시 호크아이(HawkEye)라는 유명 멀웨어 공급자가 개발한 것으로 보이는 악성 파일이 첨부된 스피어피싱 메일 공격을 퍼부어댔다. 악성 파일은 압축된 실행 파일로, 키스트로크 로깅 툴이 들어 있어 암호를 훔치거나 FTP 서버 크리덴셜, 클립보드 데이터, 사용자 계정 정보 등을 훔쳐내는 데에 유용했다.
이렇게 훔쳐낸 정보들은 원격 C&C 서버로 전송되고, 공격자들은 그 정보를 암시장에 팔았다. 카스퍼스키가 IP를 추적해보니 다양한 멀웨어를 사용한 캠페인이 운영되고 있는 시스템에 도달할 수 있었다고 한다. “엔지니어링 업체 외에도 제약 업체, 교육 단체 등도 표적이 되고 있었습니다. UAE, 이집트, 사우디아라비아, 파키스탄, 독일, 스페인이 주로 당했습니다.”
카스퍼스키에 따르면 최근 발견되는 사이버 공격의 대부분이 ‘표적형’이라고 한다. “6월에 발견한 공격들 중 70%가 UAE의 단체 및 조직들을 겨냥한 공격이었어요. UAE의 대형 은행들로부터 온 것처럼 가장한 가짜 이메일로 많은 공격이 일어났었죠.”
또한 구울 작전에서 특이할만한 건, 공격 자체는 매우 단순한 편에 속하는데 성공률이 낮지 않다는 점이다. “수상한 메일에 수상한 첨부파일이 자꾸만 일반 사용자들의 손에 의해 열려진다는 게 놀라울 지경입니다.”
일반적으로 산업 시설 및 엔지니어링 기업을 노리는 건 1) 국가 시설 타격이나 2) 지적재산 판매를 통한 금전적인 이득을 얻기 위해서이고 3) 경쟁 업체가 사업기밀을 훔쳐 시장에서 우위를 점하기 위해서다. 또한 대부분 국가가 배후에 있는 세력들이 이런 공격들을 감행한다.
구울 작전이 이런 일반적인 경우에 속한다고도 볼 수 있지만 1) 정부가 후원하는 해커들의 보여주는 높은 수준의 공격 기술이 아직까지 나타난 바 없고 2) 특정 정치적 목적이 없이 ‘무작위로’ 공격 표적을 정한다는 것에서 상당한 차이가 나타나기도 한다. 카스퍼스키는 “이 작전이 계속해서 진행되는 한, 아무런 준비를 하지 않고 있다가 당하는 기업들이 많아질 것”이라고 경고한다.
한편 카스퍼스키는 구울 작전에 당했는지 확인해볼 수 있는 IoC(침해지표)를 블로그에 올려두었다. 이 페이지 하단 부분에 나온다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
