2010년 발견된 ‘최초의 사이버 무기’, 원래 또 다른 개발자 있었다?
크로니클 ‘초 위협 행위자’ 의미하는 STA라는 개념 새롭게 들고 나와
[보안뉴스 문가용 기자] 구글의 모회사인 알파벳(Alphabet)이 보유하고 있는 사이버 보안 전문 업체인 크로니클(Chronicle)이 악명 높은 스턱스넷(Stuxnet) 멀웨어와 관련된 새로운 요소를 발견했다. 이 때문에 스턱스넷 개발에 참여한 수수께끼의 인물이나 세력이 있을 수 있다는 가능성이 제기됐다.
[이미지 = iclickart]
스턱스텟은 현재까지 알려지기로는 미국과 이스라엘이 개발한 멀웨어로, 웜과 비슷한 구조를 가지고 있으며 산업 시스템을 감염시킨다. ‘세계 최초의 사이버 무기’라는 상징성을 가지고 있으며, 이란의 핵 시설에 심대한 피해를 입혔다. 스턱스넷은 발견 당시부터 지금까지 활발하게 연구되고 있으며, 그 과정에서 두쿠(Duqu), 플레임(Flame)과 같은 멀웨어와의 연관성도 발견됐다. 두쿠와 플레임은 NSA 산하 조직이라고 알려져 있는 이퀘이젼 그룹(Equation Group)이 개발에 참여한 것으로 추정된다.
크로니클은 이 스턱스넷, 두쿠, 플레임을 상세히 분석하며 STA라는 새로운 개념을 도입했다. STA는 Supra Threat Actor(초 위협 행위자)의 준말로, 여러 국가, 조직, 단체를 대표하는 세력들을 지칭한다. 크로니클은 “스턱스넷의 배후 세력 전체, 즉 STA의 통칭을 가십걸(GOSSIPGIRL)이라고 해왔다”며 “최근 이 가십걸의 정체에 대한 힌트를 제공해줄 만한 스턱스넷 관련 요소를 새로이 발견했다”고 발표했다.
이 요소의 이름은 스턱스샵(Stuxshop)이다. “여태까지 알려진 가십걸의 구성원은 두쿠, 플레임, 이퀘이젼이었습니다. 그런데 여기에 네 번째 단체가 나타났습니다. 2002년과 2013년 사이에 중동 지역에서 주로 발견됐었던 멀웨어 플랫폼인 플라워샵(Flowershop)을 개발 및 운영했던 자들입니다.” 플라워샵은 2015년에 처음 발견된 것으로, 이퀘이젼 그룹이 사용했다가 유출된 도구인 테러토리얼 디스퓨트(Territorial Dispute, TeDi)와의 연관성이 함께 드러나기도 했다.
크로니클의 연구원인 후안 안드레스 게레로 사아드(Juan Andres Guerrero Saad)와 실라스 쿠틀러(Silas Cutler)는 스턱스샵뿐만 아니라 두쿠 1.5와 플레임 2.0도 함께 새로 발견했다. “스턱스샵은 플라워샵 그룹과 관련이 있는 것으로 보이는 일종의 C&C 요소입니다. 간단한 체크인 스케줄 관리 기능을 가지고 있는 하나의 모듈이죠. 스턱스샵의 코드 일부는 플라워샵과 똑같고, 스턱스넷의 C&C 서버라고 알려진 IP 주소들과 통신하는 기능을 가지고 있었습니다.”
사아드와 쿠틀러는 스턱스샵에서 구시대적인 특징도 발견할 수 있었다. “보다 현대적인 멀웨어들과 달리 C&C 서버의 응답을 근거로 한 행동들을 하지 않습니다. C&C 서버로부터 온 데이터를 호출 모듈이 만들어둔 콜백(callback) 함수로 곧장 전달합니다.” 둘이 분석한 샘플의 경우 타임스탬프가 2006년 5월로 맞춰져 있었다. “아마도 초기 C&C 기능을 담당하기 위해 스턱스넷에 추가된 것”으로 보인다고 한다. “스텍스넷 4(Stuxnet Type 4)에 사용되었던 것으로 보입니다. 하지만 스턱스넷의 대표 버전인 ‘1 유형(Stuxnet Type 1)’에서는 사라졌습니다.”
사드와 쿠틀러는 스턱스샵의 발견을 두고 “우리가 여태까지 몰랐던 제4의 세력이 스턱스넷 개발에 참여했음을 시사한다”고 설명한다. “또한 스턱스넷이 모듈 구조로 구성되어 있으며, 이 모듈 구조 덕분에 공격을 진행하는 와중에 계속해서 변할 수 있었음이 입증되었습니다. 이전에 보안 업체 시만텍(Symantec)이 ‘스턱스넷 개발 착수가 2005년부터였다’는 이론을 주장한 바 있는데, 이번에 발견된 스턱스샵이 증거 자료가 될 수 있습니다.” 스턱스넷이 발견된 것은 2010년이다.
“스턱스샵이 최초 개발 이후 13년이나 지나서 발견됐다는 건 꽤나 중요한 사건입니다. 스턱스넷이 처음 발견됐을 때는 야라(YARA) 규칙들이 널리 적용되던 시점도 아니었고, 코드 유사성 분석 기술 역시 발전이 충분히 되지 않았던 때였습니다. 그렇기 때문에 스턱스샵이 그때 발견됐다 하더라도 그 의미를 몰랐을 겁니다. 게다가 당시는 플라워샵의 존재도 알지 못했었죠. 스턱스넷이 발견되고 3~4년 후에서야 모습을 드러낸 것이니까요.” 크로니클의 설명이다.
3줄 요약
1. 스턱스넷 초기 버전에 포함되어 있던 것으로 보이는 새로운 모듈이 발견됨.
2. ‘스턱스샵’으로, ‘플라워샵’이라는 또 다른 멀웨어 플랫폼과 상당히 유사함.
3. 결국 스턱스넷 개발에 또 다른 세력이 참여했다는 뜻. 누군지는 아직 모름.
[국제부 문가용 기자(globoan@boannews.com)]
크로니클 ‘초 위협 행위자’ 의미하는 STA라는 개념 새롭게 들고 나와
[보안뉴스 문가용 기자] 구글의 모회사인 알파벳(Alphabet)이 보유하고 있는 사이버 보안 전문 업체인 크로니클(Chronicle)이 악명 높은 스턱스넷(Stuxnet) 멀웨어와 관련된 새로운 요소를 발견했다. 이 때문에 스턱스넷 개발에 참여한 수수께끼의 인물이나 세력이 있을 수 있다는 가능성이 제기됐다.
[이미지 = iclickart]
스턱스텟은 현재까지 알려지기로는 미국과 이스라엘이 개발한 멀웨어로, 웜과 비슷한 구조를 가지고 있으며 산업 시스템을 감염시킨다. ‘세계 최초의 사이버 무기’라는 상징성을 가지고 있으며, 이란의 핵 시설에 심대한 피해를 입혔다. 스턱스넷은 발견 당시부터 지금까지 활발하게 연구되고 있으며, 그 과정에서 두쿠(Duqu), 플레임(Flame)과 같은 멀웨어와의 연관성도 발견됐다. 두쿠와 플레임은 NSA 산하 조직이라고 알려져 있는 이퀘이젼 그룹(Equation Group)이 개발에 참여한 것으로 추정된다.
크로니클은 이 스턱스넷, 두쿠, 플레임을 상세히 분석하며 STA라는 새로운 개념을 도입했다. STA는 Supra Threat Actor(초 위협 행위자)의 준말로, 여러 국가, 조직, 단체를 대표하는 세력들을 지칭한다. 크로니클은 “스턱스넷의 배후 세력 전체, 즉 STA의 통칭을 가십걸(GOSSIPGIRL)이라고 해왔다”며 “최근 이 가십걸의 정체에 대한 힌트를 제공해줄 만한 스턱스넷 관련 요소를 새로이 발견했다”고 발표했다.
이 요소의 이름은 스턱스샵(Stuxshop)이다. “여태까지 알려진 가십걸의 구성원은 두쿠, 플레임, 이퀘이젼이었습니다. 그런데 여기에 네 번째 단체가 나타났습니다. 2002년과 2013년 사이에 중동 지역에서 주로 발견됐었던 멀웨어 플랫폼인 플라워샵(Flowershop)을 개발 및 운영했던 자들입니다.” 플라워샵은 2015년에 처음 발견된 것으로, 이퀘이젼 그룹이 사용했다가 유출된 도구인 테러토리얼 디스퓨트(Territorial Dispute, TeDi)와의 연관성이 함께 드러나기도 했다.
크로니클의 연구원인 후안 안드레스 게레로 사아드(Juan Andres Guerrero Saad)와 실라스 쿠틀러(Silas Cutler)는 스턱스샵뿐만 아니라 두쿠 1.5와 플레임 2.0도 함께 새로 발견했다. “스턱스샵은 플라워샵 그룹과 관련이 있는 것으로 보이는 일종의 C&C 요소입니다. 간단한 체크인 스케줄 관리 기능을 가지고 있는 하나의 모듈이죠. 스턱스샵의 코드 일부는 플라워샵과 똑같고, 스턱스넷의 C&C 서버라고 알려진 IP 주소들과 통신하는 기능을 가지고 있었습니다.”
사아드와 쿠틀러는 스턱스샵에서 구시대적인 특징도 발견할 수 있었다. “보다 현대적인 멀웨어들과 달리 C&C 서버의 응답을 근거로 한 행동들을 하지 않습니다. C&C 서버로부터 온 데이터를 호출 모듈이 만들어둔 콜백(callback) 함수로 곧장 전달합니다.” 둘이 분석한 샘플의 경우 타임스탬프가 2006년 5월로 맞춰져 있었다. “아마도 초기 C&C 기능을 담당하기 위해 스턱스넷에 추가된 것”으로 보인다고 한다. “스텍스넷 4(Stuxnet Type 4)에 사용되었던 것으로 보입니다. 하지만 스턱스넷의 대표 버전인 ‘1 유형(Stuxnet Type 1)’에서는 사라졌습니다.”
사드와 쿠틀러는 스턱스샵의 발견을 두고 “우리가 여태까지 몰랐던 제4의 세력이 스턱스넷 개발에 참여했음을 시사한다”고 설명한다. “또한 스턱스넷이 모듈 구조로 구성되어 있으며, 이 모듈 구조 덕분에 공격을 진행하는 와중에 계속해서 변할 수 있었음이 입증되었습니다. 이전에 보안 업체 시만텍(Symantec)이 ‘스턱스넷 개발 착수가 2005년부터였다’는 이론을 주장한 바 있는데, 이번에 발견된 스턱스샵이 증거 자료가 될 수 있습니다.” 스턱스넷이 발견된 것은 2010년이다.
“스턱스샵이 최초 개발 이후 13년이나 지나서 발견됐다는 건 꽤나 중요한 사건입니다. 스턱스넷이 처음 발견됐을 때는 야라(YARA) 규칙들이 널리 적용되던 시점도 아니었고, 코드 유사성 분석 기술 역시 발전이 충분히 되지 않았던 때였습니다. 그렇기 때문에 스턱스샵이 그때 발견됐다 하더라도 그 의미를 몰랐을 겁니다. 게다가 당시는 플라워샵의 존재도 알지 못했었죠. 스턱스넷이 발견되고 3~4년 후에서야 모습을 드러낸 것이니까요.” 크로니클의 설명이다.
3줄 요약
1. 스턱스넷 초기 버전에 포함되어 있던 것으로 보이는 새로운 모듈이 발견됨.
2. ‘스턱스샵’으로, ‘플라워샵’이라는 또 다른 멀웨어 플랫폼과 상당히 유사함.
3. 결국 스턱스넷 개발에 또 다른 세력이 참여했다는 뜻. 누군지는 아직 모름.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
