.jpg)
보안 메신저라는 인식 있는 텔레그램, 데스크톱 버전은 부실
공격 배후 정확히 알 수 없으나, ‘라쿤 해커’라는 인물 포함돼 있어
[보안뉴스 문가용 기자] 텔레그램(Telegram) 앱의 데스크톱 버전을 노리는 새로운 멀웨어가 나타났다. 시스코의 탈로스 팀이 발견한 것으로, 분석 후 “러시아어를 구사하는 공격자가 멀웨어의 배후에 있다”고 결론을 내렸다. 또한 익명화 서비스와 관련이 있는 IP 주소를 의도적으로 피하고 있다는 특징 또한 발견했다고 한다.
[이미지 = iclickart]
이 멀웨어가 탈로스 팀의 관심을 끈 건 텔레그램 데스크톱 버전을 노린다는 특징 때문이다. 탈로스 팀의 위협 분석가인 비토르 벤투라(Vitor Ventura)는 “텔레그램 모바일 앱은 전혀 안중에도 없고, 오로지 데스크톱 버전만 노린다”고 설명한다. “오로지 데스크톱 버전만 노린 멀웨어는 이것이 처음입니다.”
왓츠앱 데스크톱 버전만 노린다는 건 어떤 의미를 가지고 있는 걸까? 비토르 벤투라는 “정찰을 하거나 크리덴셜을 훔치는 멀웨어나 공격 전략은 무수히 많지만, 텔레그램의 특정 버전만을 집요하게 노린다는 건 공격자들이 공략하려는 포인트가 분명히 존재한다는 것”이라며 “데스크톱 버전의 텔레그램은 디폴트 상 보안이 취약한 편이라는 걸 간파한 것으로 보인다”고 설명한다.
이 새로운 멀웨어는 텔레그램 데스크톱 버전의 특정 취약점을 익스플로잇하지 않는다. 다만 디폴트 세팅의 취약한 면모를 어뷰징하는데, 특히 ‘비밀 채팅(Secret Chat)’이라는 기능이 데스크톱 버전에는 없다는 것이 굉장히 크게 작용한다. “그러므로 공격자는 데스크톱 사용자를 감염시키는 데 성공하면 데스크톱과 모바일 사용자들 간 대화 내용에 접근할 수 있게 됩니다. 하지만 모바일 앱 사용자와 모바일 앱 사용자 사이에 끼어들지는 못합니다.”
모바일 전용인 비밀 대화 기능은 보안이 상당히 강력한 것으로 알려져 있다. “대화 내용은 오로지 기기 내에만 저장이 되며, 자동 파괴 툴도 갖추고 있습니다. 그런데 데스크톱에는 이런 기능이 없어요. 웹 버전에도 없고요. 게다가 이 두 버전은 채팅 내용을 클라우드에 저장하고 자동 로그아웃 기능도 없습니다.”
클라우드 기반의 저장 시스템과 자동 로그아웃 기능이 없다는 건, 누군가 멀웨어를 삽입해 텔레그렘 세션과 대화 내용을 가로채는 게 가능하다는 뜻이다.
누가, 언제, 무엇을
문제의 멀웨어가 처음 발견된 건 2018년 4월 4일이다. 당시는 브라우저 크리덴셜과 쿠키를 비롯해 시스템 내 모든 텍스트 파일을 훔치는 기능을 가지고 있었다. 두 번째 버전은 4월 10일에 발견됐다. 첫 번째 버전에 텔레그램 데스크톱 캐시, 키 파일, 스팀(Steam) 웹사이트 크리덴셜을 수집하는 기능이 붙었다.
벤투라는 “텔레그램 데스크톱 데이터를 통해 세션 하이재킹을 하는 사례는 그리 많지 않다”고 설명한다. “텔레그램 데스크톱 데이터가 있으면 공격자가 모든 연락처 정보와 이전 대화내용에 접근할 수 있게 됩니다. 사용자가 의도적으로 이런 정보를 삭제하거나 일부러 로그아웃을 하지 않았다면 말입니다.”
한편 멀웨어 운영자들은 하드코딩된 pcloud.com 계정들을 사용해 자신들이 훔쳐낸 정보를 저장하고 있었다. 이 정보는 암호화되어 있지 않기 때문에 해당 계정에 접속 가능한 사용자라면 누구라도 정보를 취득해 사용하는 게 가능하다고 한다.
벤투라는 “이러한 범행의 동기나 이유를 정확히 알지는 못한다”고 말하지만 “공격자들 중에는 러시아어를 구사하는 사람이 있다는 걸 알 수는 있었다”고 한다. “멀웨어를 분석하고 추적하는 중에 한 관련 인물을 찾아냈는데, 온라인 상 이름이 라쿤 해커(Raccoon Hacker)였습니다.” 그래서 벤투라는 기타 탈로스 첩보들을 뒤지기 시작했고, 라쿤 해커와 관련된 영상들을 찾아낼 수 있었다.
“라쿤 해커는 텔레그램으로부터 수집한 파일들을 어떻게 사용하는지 누군가에게 알려주는 강의 영상을 유튜브에 업로드 했었더군요. 강의 내용은 공격 대상의 세션을 하이재킹하고, 훔친 정보를 패키징해서 배포하는 방법에 관한 것이었습니다.”
벤투라는 “텔레그램이 안전한 메신저 서비스라고만 알려져 있지, 데스크톱 버전이 상당히 취약하다는 건 많은 사람이 알지 못하다”며 “이를 효과적으로 많은 사람에게 알릴 수 있는 방법이 필요하다”고 주장한다. “텔레그램 측도 이런 점을 크게 부각시키지 않고 있습니다. 종단간 암호화를 할 만큼 보안에 관심이 있는 업체라면, 데스크톱 버전을 보강하든가 현황을 사용자들에게 알려야 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]
공격 배후 정확히 알 수 없으나, ‘라쿤 해커’라는 인물 포함돼 있어
[보안뉴스 문가용 기자] 텔레그램(Telegram) 앱의 데스크톱 버전을 노리는 새로운 멀웨어가 나타났다. 시스코의 탈로스 팀이 발견한 것으로, 분석 후 “러시아어를 구사하는 공격자가 멀웨어의 배후에 있다”고 결론을 내렸다. 또한 익명화 서비스와 관련이 있는 IP 주소를 의도적으로 피하고 있다는 특징 또한 발견했다고 한다.
[이미지 = iclickart]
이 멀웨어가 탈로스 팀의 관심을 끈 건 텔레그램 데스크톱 버전을 노린다는 특징 때문이다. 탈로스 팀의 위협 분석가인 비토르 벤투라(Vitor Ventura)는 “텔레그램 모바일 앱은 전혀 안중에도 없고, 오로지 데스크톱 버전만 노린다”고 설명한다. “오로지 데스크톱 버전만 노린 멀웨어는 이것이 처음입니다.”
왓츠앱 데스크톱 버전만 노린다는 건 어떤 의미를 가지고 있는 걸까? 비토르 벤투라는 “정찰을 하거나 크리덴셜을 훔치는 멀웨어나 공격 전략은 무수히 많지만, 텔레그램의 특정 버전만을 집요하게 노린다는 건 공격자들이 공략하려는 포인트가 분명히 존재한다는 것”이라며 “데스크톱 버전의 텔레그램은 디폴트 상 보안이 취약한 편이라는 걸 간파한 것으로 보인다”고 설명한다.
이 새로운 멀웨어는 텔레그램 데스크톱 버전의 특정 취약점을 익스플로잇하지 않는다. 다만 디폴트 세팅의 취약한 면모를 어뷰징하는데, 특히 ‘비밀 채팅(Secret Chat)’이라는 기능이 데스크톱 버전에는 없다는 것이 굉장히 크게 작용한다. “그러므로 공격자는 데스크톱 사용자를 감염시키는 데 성공하면 데스크톱과 모바일 사용자들 간 대화 내용에 접근할 수 있게 됩니다. 하지만 모바일 앱 사용자와 모바일 앱 사용자 사이에 끼어들지는 못합니다.”
모바일 전용인 비밀 대화 기능은 보안이 상당히 강력한 것으로 알려져 있다. “대화 내용은 오로지 기기 내에만 저장이 되며, 자동 파괴 툴도 갖추고 있습니다. 그런데 데스크톱에는 이런 기능이 없어요. 웹 버전에도 없고요. 게다가 이 두 버전은 채팅 내용을 클라우드에 저장하고 자동 로그아웃 기능도 없습니다.”
클라우드 기반의 저장 시스템과 자동 로그아웃 기능이 없다는 건, 누군가 멀웨어를 삽입해 텔레그렘 세션과 대화 내용을 가로채는 게 가능하다는 뜻이다.
누가, 언제, 무엇을
문제의 멀웨어가 처음 발견된 건 2018년 4월 4일이다. 당시는 브라우저 크리덴셜과 쿠키를 비롯해 시스템 내 모든 텍스트 파일을 훔치는 기능을 가지고 있었다. 두 번째 버전은 4월 10일에 발견됐다. 첫 번째 버전에 텔레그램 데스크톱 캐시, 키 파일, 스팀(Steam) 웹사이트 크리덴셜을 수집하는 기능이 붙었다.
벤투라는 “텔레그램 데스크톱 데이터를 통해 세션 하이재킹을 하는 사례는 그리 많지 않다”고 설명한다. “텔레그램 데스크톱 데이터가 있으면 공격자가 모든 연락처 정보와 이전 대화내용에 접근할 수 있게 됩니다. 사용자가 의도적으로 이런 정보를 삭제하거나 일부러 로그아웃을 하지 않았다면 말입니다.”
한편 멀웨어 운영자들은 하드코딩된 pcloud.com 계정들을 사용해 자신들이 훔쳐낸 정보를 저장하고 있었다. 이 정보는 암호화되어 있지 않기 때문에 해당 계정에 접속 가능한 사용자라면 누구라도 정보를 취득해 사용하는 게 가능하다고 한다.
벤투라는 “이러한 범행의 동기나 이유를 정확히 알지는 못한다”고 말하지만 “공격자들 중에는 러시아어를 구사하는 사람이 있다는 걸 알 수는 있었다”고 한다. “멀웨어를 분석하고 추적하는 중에 한 관련 인물을 찾아냈는데, 온라인 상 이름이 라쿤 해커(Raccoon Hacker)였습니다.” 그래서 벤투라는 기타 탈로스 첩보들을 뒤지기 시작했고, 라쿤 해커와 관련된 영상들을 찾아낼 수 있었다.
“라쿤 해커는 텔레그램으로부터 수집한 파일들을 어떻게 사용하는지 누군가에게 알려주는 강의 영상을 유튜브에 업로드 했었더군요. 강의 내용은 공격 대상의 세션을 하이재킹하고, 훔친 정보를 패키징해서 배포하는 방법에 관한 것이었습니다.”
벤투라는 “텔레그램이 안전한 메신저 서비스라고만 알려져 있지, 데스크톱 버전이 상당히 취약하다는 건 많은 사람이 알지 못하다”며 “이를 효과적으로 많은 사람에게 알릴 수 있는 방법이 필요하다”고 주장한다. “텔레그램 측도 이런 점을 크게 부각시키지 않고 있습니다. 종단간 암호화를 할 만큼 보안에 관심이 있는 업체라면, 데스크톱 버전을 보강하든가 현황을 사용자들에게 알려야 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)