.gif)
최소 2012년부터 진행되어 온 공격...아프리카와 중동 국가에 집중
세계 최고 해킹 그룹의 흔적 나와...정체 파악 위한 결정적 단서 없어
[보안뉴스 문가용 기자] 새로운 국가 단위 사이버 스파이 캠페인이 발견됐다. 아프리카와 중동 지역의 네트워크 라우터 장비가 주요 표적이며, 목적은 관리자 권한의 크리덴셜을 탈취하는 것이라고 한다. 보안 업체 카스퍼스키가 이에 대해 발표했다.
.jpg)
[이미지 = iclickart]
카스퍼스키에 의하면 이 사이버 작전의 이름은 슬링샷(Slingshot)이다. 이 단어를 코드 내에서 발견한 것이 유래다. 최소한 2012년부터 진행되어 왔으며 피해를 본 인물 및 단체의 수는 100을 넘는 것으로 보인다.
피해자의 절반은 케냐에 있으며, 그 외 예멘, 리비아, 아프가니스탄, 이라크, 탄자니아, 그리스, 요르단, 소말리아, 튀니지, 터키, 모리셔스, UAE에서도 공격의 흔적이 발견됐다. 공격자들은 커널 모드 접근 권한을 취득해 스크린샷, 네트워크 정보, 키보드 데이터, 비밀번호, USB 연결 관련 정보 등을 수집했다고 한다.
하지만 슬링샷 공격자들이 피해자들의 시스템에 처음 어떻게 접근하는 데 성공했는지는 확실하지 않다. 다만 주요 시스템의 관리자 권한을 훔쳐내고, 그것을 통해 네트워크 내에서 횡적으로 움직였다는 것만은 확실하다고 카스퍼스키는 밝히고 있다.
“슬링샷 공격자들이 주로 노린 건 마이크로틱(MikroTik)의 라우터들입니다. 여기에 악성 동적 링크 라이브러리(DLL)을 드롭시켜, 또 다른 멀웨어를 다운로드 받게 하는 방식이 활용됐습니다. 거기서부터 감염을 확장시켜 나갔고요.” 카스퍼스키 측의 설명이다.
라우터를 해킹하는 건 그리 흔한 방법이 아니다. 하지만 성공했을 때 효과는 굉장하다. “여러 장점 중 가장 좋은 건 라우터 보안을 강화하는 사람은 거의 없기 때문에 멀웨어를 여기에 심어두면 오랫동안 조용히 머물러 있을 수 있다는 겁니다. 아마도 그러한 점 때문에 공격자들도 라우터를 노린 것으로 보입니다. 즉 APT 공격이 목적이었다는 뜻입니다.” 수석 멀웨어 분석가인 알렉시 슐민(Alexey Shulmin)의 설명이다.
슐민은 라우터에 대해 “보안의 사각지대에 놓여 있는 장비”라고 설명한다. “솔직히 말해 이번에 저희가 발견한 것이 전부라는 확신은 없습니다. 그저 빙산의 일각만을 발표했을 가능성도 높죠.”
카스퍼스키의 또 다른 분석가인 코스틴 라이우(Costin Raiu)는 “관리자 크리덴셜을 얻어내면 해커는 사실상 원하는 모든 것들을 할 수 있다”며 “네트워크 내 모든 시스템과 모든 데이터에 닿을 수 있기도 하다”고 설명한다. “하지만 라우터를 최초에 어떤 식으로 감염시켰는지가 정말 궁금해지는 부분입니다.”
가장 가능성이 큰 건 마이크로틱 라우터 소프트웨어에 존재하는 취약점을 익스플로잇 한 것이다. “또한 커널 내에 멀웨어를 심어놓았다는 것도 주목해야 합니다. 이는 굉장히 고차원적인 기술을 가진 자들이, 그것도 든든한 지원을 받은 자들이 할 수 있는 공격이거든요. 커널 모드로 들어가는 건 OS 기술이 발전함에 따라 점점 어려워지고 있고, 이걸 해내는 사람들은 점점 더 적어지고 있습니다.”
공격자들이 심은 코드에는 훔친 데이터를 저장해놓는 기능도 있었다. 키로거, 시스템 정보 등의 데이터가 피해자의 하드드라이브에 저장됐다. “또한 수동 네트워크 기반 백도어(passive network-driven backdoor)를 사용해 코드가 발생시키는 트래픽을 정상 네트워크 트래픽에 숨기거나 암호화시키기도 합니다. 이러한 기법은 이전에 램버트(Lambert)라는 이름을 가진 해커들이 사용하던 방법입니다. 화이트 램버트(White Lambert)와 그레이 램버트(Grey Lambert)가 있습니다.”
하지만 램버트가 누구인지, 어떤 나라에 소속되어 있는지는 아직 확실히 밝혀진 바가 없다. “그렇다고 단서가 아예 없는 것도 아닙니다. 이번에 발견한 슬링샷 공격을 통해서 발견한 건, 공격자들이 영어를 모국어 수준으로 구사한다는 것과 털라(Turla)라는 러시아 해커들이 이전에 사용했던 기술들의 모습도 보인다는 겁니다. 심지어 미국 NSA의 이퀘이젼 그룹(Equation Group)의 느낌도 나고요.”
램버트, 털라, 이퀘이젼 그룹의 느낌이 모두 난다는 건데, 이 셋의 공통점은 ‘세계 최고 수준의 해킹 그룹’이라는 수식어를 동반한다는 것이다. “하지만 그 외에는 이 셋의 공통분모를 찾기가 어렵습니다. 슬링샷이 이 셋 중에 하나가 한 짓이라는 확실한 증거도 없고요.”
또 재미있는 건 슬링샷 공격자들이 ‘반지의 제왕’을 무척 좋아하는 것처럼 보인다는 것이다. “멀웨어 모듈 이름들에 ‘골룸’이나 ‘스미골’ 같은 단어들이 사용됐습니다.”
[국제부 문가용 기자(globoan@boannews.com)]
세계 최고 해킹 그룹의 흔적 나와...정체 파악 위한 결정적 단서 없어
[보안뉴스 문가용 기자] 새로운 국가 단위 사이버 스파이 캠페인이 발견됐다. 아프리카와 중동 지역의 네트워크 라우터 장비가 주요 표적이며, 목적은 관리자 권한의 크리덴셜을 탈취하는 것이라고 한다. 보안 업체 카스퍼스키가 이에 대해 발표했다.
[이미지 = iclickart]
카스퍼스키에 의하면 이 사이버 작전의 이름은 슬링샷(Slingshot)이다. 이 단어를 코드 내에서 발견한 것이 유래다. 최소한 2012년부터 진행되어 왔으며 피해를 본 인물 및 단체의 수는 100을 넘는 것으로 보인다.
피해자의 절반은 케냐에 있으며, 그 외 예멘, 리비아, 아프가니스탄, 이라크, 탄자니아, 그리스, 요르단, 소말리아, 튀니지, 터키, 모리셔스, UAE에서도 공격의 흔적이 발견됐다. 공격자들은 커널 모드 접근 권한을 취득해 스크린샷, 네트워크 정보, 키보드 데이터, 비밀번호, USB 연결 관련 정보 등을 수집했다고 한다.
하지만 슬링샷 공격자들이 피해자들의 시스템에 처음 어떻게 접근하는 데 성공했는지는 확실하지 않다. 다만 주요 시스템의 관리자 권한을 훔쳐내고, 그것을 통해 네트워크 내에서 횡적으로 움직였다는 것만은 확실하다고 카스퍼스키는 밝히고 있다.
“슬링샷 공격자들이 주로 노린 건 마이크로틱(MikroTik)의 라우터들입니다. 여기에 악성 동적 링크 라이브러리(DLL)을 드롭시켜, 또 다른 멀웨어를 다운로드 받게 하는 방식이 활용됐습니다. 거기서부터 감염을 확장시켜 나갔고요.” 카스퍼스키 측의 설명이다.
라우터를 해킹하는 건 그리 흔한 방법이 아니다. 하지만 성공했을 때 효과는 굉장하다. “여러 장점 중 가장 좋은 건 라우터 보안을 강화하는 사람은 거의 없기 때문에 멀웨어를 여기에 심어두면 오랫동안 조용히 머물러 있을 수 있다는 겁니다. 아마도 그러한 점 때문에 공격자들도 라우터를 노린 것으로 보입니다. 즉 APT 공격이 목적이었다는 뜻입니다.” 수석 멀웨어 분석가인 알렉시 슐민(Alexey Shulmin)의 설명이다.
슐민은 라우터에 대해 “보안의 사각지대에 놓여 있는 장비”라고 설명한다. “솔직히 말해 이번에 저희가 발견한 것이 전부라는 확신은 없습니다. 그저 빙산의 일각만을 발표했을 가능성도 높죠.”
카스퍼스키의 또 다른 분석가인 코스틴 라이우(Costin Raiu)는 “관리자 크리덴셜을 얻어내면 해커는 사실상 원하는 모든 것들을 할 수 있다”며 “네트워크 내 모든 시스템과 모든 데이터에 닿을 수 있기도 하다”고 설명한다. “하지만 라우터를 최초에 어떤 식으로 감염시켰는지가 정말 궁금해지는 부분입니다.”
가장 가능성이 큰 건 마이크로틱 라우터 소프트웨어에 존재하는 취약점을 익스플로잇 한 것이다. “또한 커널 내에 멀웨어를 심어놓았다는 것도 주목해야 합니다. 이는 굉장히 고차원적인 기술을 가진 자들이, 그것도 든든한 지원을 받은 자들이 할 수 있는 공격이거든요. 커널 모드로 들어가는 건 OS 기술이 발전함에 따라 점점 어려워지고 있고, 이걸 해내는 사람들은 점점 더 적어지고 있습니다.”
공격자들이 심은 코드에는 훔친 데이터를 저장해놓는 기능도 있었다. 키로거, 시스템 정보 등의 데이터가 피해자의 하드드라이브에 저장됐다. “또한 수동 네트워크 기반 백도어(passive network-driven backdoor)를 사용해 코드가 발생시키는 트래픽을 정상 네트워크 트래픽에 숨기거나 암호화시키기도 합니다. 이러한 기법은 이전에 램버트(Lambert)라는 이름을 가진 해커들이 사용하던 방법입니다. 화이트 램버트(White Lambert)와 그레이 램버트(Grey Lambert)가 있습니다.”
하지만 램버트가 누구인지, 어떤 나라에 소속되어 있는지는 아직 확실히 밝혀진 바가 없다. “그렇다고 단서가 아예 없는 것도 아닙니다. 이번에 발견한 슬링샷 공격을 통해서 발견한 건, 공격자들이 영어를 모국어 수준으로 구사한다는 것과 털라(Turla)라는 러시아 해커들이 이전에 사용했던 기술들의 모습도 보인다는 겁니다. 심지어 미국 NSA의 이퀘이젼 그룹(Equation Group)의 느낌도 나고요.”
램버트, 털라, 이퀘이젼 그룹의 느낌이 모두 난다는 건데, 이 셋의 공통점은 ‘세계 최고 수준의 해킹 그룹’이라는 수식어를 동반한다는 것이다. “하지만 그 외에는 이 셋의 공통분모를 찾기가 어렵습니다. 슬링샷이 이 셋 중에 하나가 한 짓이라는 확실한 증거도 없고요.”
또 재미있는 건 슬링샷 공격자들이 ‘반지의 제왕’을 무척 좋아하는 것처럼 보인다는 것이다. “멀웨어 모듈 이름들에 ‘골룸’이나 ‘스미골’ 같은 단어들이 사용됐습니다.”
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=spacer}
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)