지난 해 말, 삭제형 멀웨어 사용해 시스템 내 모든 데이터 깔끔하게 지워
VPN 취약점 통해 침투한 듯...사우디에 반대한다는 내용의 데이터만 남겨
[보안뉴스 문가용 기자] 12월 29일, 한 사이버 공격 단체가 바레인의 국영 석유 회사에서 사용되고 있는 시스템에 있는 데이터를 말끔하게 삭제했다. 공격자들은 와이퍼(wiper)라고 분류되는 삭제형 멀웨어를 통해 “빈 살만(Bin Salman)에 반대한다”, “사우디 왕국에 반대한다”라는 문구를 채워넣었다. 모든 데이터가 이 문자열로 덮어쓰기 되면서 사라졌다.
[이미지 = iclickart]
이 멀웨어의 이름은 더스트맨(Dustman)으로, 과거에 등장한 삭제형 멀웨어인 샤문(Shamoon)이나 제로클리어(ZeroCleare)와 확실히 다르긴 하지만, 비슷한 부분도 많이 가지고 있는 것으로 분석됐다. 샤문과 제로클리어는 이란 정부와 관련이 있는 해커들이 중동의 단체들을 공격할 때 사용한 것으로 알려져 있다. 이번에 더스트맨을 사용한 공격자들은 2019년 7월부터 피해 기업의 네트워크에 접근할 수 있었지만, 데이터를 실제로 삭제한 건 12월 29일이었다. 미국이 이란에 보복하기 위해 시리아와 이라크에 있는 이란 시설에 폭탄을 투하한 바로 그 날이었다.
하지만 보안 업체 소닉월(SonicWall)의 부회장인 드미트리 아이라페토브(Dmitriy Ayrapetov)는 “사우디에 반대한다고 해서 꼭 이란이라고 결론을 내려서는 안 된다”고 말한다. “다만 이전에 이란이 했다고 알려진 공격들과 비교했을 때 기술적으로나 전략적으로 닮은 구석이 많았다면, 그 때는 꽤나 자신있게 이란의 해킹 단체가 한 짓이라고 말할 수 있습니다.”
더스트맨 공격을 통해 세상은 이란의 해커들이 어느 정도의 실력과 집요함, 그리고 중동 지역에 마련된 각종 네트워크에 어느 정도로까지 접근할 수 있는지 알게 됐다.
더스트맨 공격에서 이란의 해커들은 피해 기업의 VPN 소프트웨어에 있는 취약점을 통해 침투에 성공했다. 그 후 백신 관리 서버를 통해 삭제형 멀웨어를 퍼트렸다. 스토리지 서버에 접근해 저장된 데이터를 확인하고 수동으로 삭제했으며, VPN 접근 로그를 지워 자신들의 흔적을 감췄다. 다만 슬립 모드로 유지되어 있던 일부 시스템에는 접근하는 데 실패하거나 자신들이 목적한 바를 전부 이뤄내지 못했다.
“공격에 우연히 살아남은 시스템에 남은 흔적들을 분석했을 때, 공격자들의 침투 기법이나 활동 사항들을 파악할 수 있었습니다. 재미있는 건 공격자들이 공격의 마무리 단계에서 서두른 흔적이 나타났다는 겁니다. 미국의 공격 개시 일자를 맞추기 위해서 급하게 처리를 한 것으로 보입니다.”
이란 정부와 관련이 있는 해킹 단체로 대표적인 건 APT33과 APT34다. 주로 중동의 국가들과 미국을 노린다. 최근에는 마이크로소프트 아웃룩에 있던 2년 된 취약점을 익스플로잇 해서 다양한 단체들에 피해를 입히기도 했다. 이 취약점은 제대로 패치하기가 어렵다는 특성을 가지고 있는데, 이 점을 잘 간파한 것이라고 보안 전문가들은 말한다.
이란의 사이버전이라고 하면 바레인 석유 회사의 경우처럼 ‘파괴적’인 이미지를 가지고 있지만, 사실 이란 해커 부대가 정말 잘 하는 건 정보를 훔치는 것이다. 보안 업체 크라우드스트라이크(CrowdStrike)의 부회장인 아담 메이어스(Adam Meyers)는 “이들의 여러 은밀한 작전 중 정보 탈취를 위한 캠페인도 상당히 많이 포함되어 있다”고 말한다.
“더스트맨은 파괴적인 도구가 활용된, 삭제 목적의 공격이었습니다. 이란의 정부를 돕거나, 이란 정부의 후원을 받는 단체가 벌인 짓으로 보입니다. 물론 특정 그룹의 이름을 정확하게 댈 수 있을 정도의 증거가 모인 것은 아닙니다. 정보 수집을 더 할수록 배후 세력에 대한 이해도가 높아질 것입니다.” 메이어스는 “이렇게 삭제형 멀웨어를 사용하면 떠들썩하게 알려지기 때문에 이란이 이런 공격에만 특화되어 있는 것처럼 보이다”며 “정보 수집 공격은 은밀해서 잘 드러나지 않지만 오히려 더 많은 비중을 차지한다”고 덧붙였다.
이 사건을 수사한 사우디의 국가 정보보안 센터인 NCSC는 최초 침투가 발생한 건 2019년 7월이며, VPN 애플리케이션 내 취약점이 활용됐다고 발표했다. 최근 펄스 시큐어(Pulse Secure) 등 각종 보안 업체에서 출시한 VPN 앱에서 치명적인 위험도를 가진 취약점이 발견됐었는데, NCSC의 보고서에는 이런 취약점들이 명시되어 있지 않았다.
또한 공격자들은 정상적이고, 서명까지 된 드라이버들을 사용해 윈도우의 보안 기능 일부를 우회하기도 했다고 소닉월의 아이라페토브는 설명을 더한다. “공격자들은 먼저 드라이버를 로딩했습니다. 가상 기계 소프트웨어인 버추얼박스(VirtualBox)를 사용하기 위해서입니다. 그런 후 공격자들은 드라이버를 익스플로잇 해서 또 다른 불량 드라이버를 로딩해 데이터를 덮어씁니다.” 즉 정상 소프트웨어를 통과용으로만 쓰고 곧바로 악성 소프트웨어를 사용하기 시작한다는 것이다.
보안 업체 실버포트(Silverfort)의 CTO인 야론 카스너(Yaron Kassner)는 백신 관리 콘솔을 활용할 때도 주의해야 한다고 설명한다. “해커들이 가장 좋아하는 건 권한이 높은 계정들입니다. 일단 하나만 확보해도 가장 민감한 시스템에 자유롭게 접근할 수 있게 되니까요. 접근만이 아니라 통제도 가능하죠. 그러므로 관리자 계정이 오히려 조직에 큰 독이 될 수 있다는 걸 기억해야 합니다. 항상 이런 요소들에 대한 모니터링이 이뤄져야 하는 게 당연합니다.”
3줄 요약
1. 바레인의 한 국영 회사에 침투한 이란 해커들, 데이터 삭제해 운영 마비시킴.
2. 이란 해커들, 삭제형 멀웨어 자주 사용하지만, 정보 탈취를 더 자주 함.
3. 이번 사건에 VPN 제품 취약점이 악용된 것이 발견되기도 함.
[국제부 문가용 기자(globoan@boannews.com)]
VPN 취약점 통해 침투한 듯...사우디에 반대한다는 내용의 데이터만 남겨
[보안뉴스 문가용 기자] 12월 29일, 한 사이버 공격 단체가 바레인의 국영 석유 회사에서 사용되고 있는 시스템에 있는 데이터를 말끔하게 삭제했다. 공격자들은 와이퍼(wiper)라고 분류되는 삭제형 멀웨어를 통해 “빈 살만(Bin Salman)에 반대한다”, “사우디 왕국에 반대한다”라는 문구를 채워넣었다. 모든 데이터가 이 문자열로 덮어쓰기 되면서 사라졌다.
[이미지 = iclickart]
이 멀웨어의 이름은 더스트맨(Dustman)으로, 과거에 등장한 삭제형 멀웨어인 샤문(Shamoon)이나 제로클리어(ZeroCleare)와 확실히 다르긴 하지만, 비슷한 부분도 많이 가지고 있는 것으로 분석됐다. 샤문과 제로클리어는 이란 정부와 관련이 있는 해커들이 중동의 단체들을 공격할 때 사용한 것으로 알려져 있다. 이번에 더스트맨을 사용한 공격자들은 2019년 7월부터 피해 기업의 네트워크에 접근할 수 있었지만, 데이터를 실제로 삭제한 건 12월 29일이었다. 미국이 이란에 보복하기 위해 시리아와 이라크에 있는 이란 시설에 폭탄을 투하한 바로 그 날이었다.
하지만 보안 업체 소닉월(SonicWall)의 부회장인 드미트리 아이라페토브(Dmitriy Ayrapetov)는 “사우디에 반대한다고 해서 꼭 이란이라고 결론을 내려서는 안 된다”고 말한다. “다만 이전에 이란이 했다고 알려진 공격들과 비교했을 때 기술적으로나 전략적으로 닮은 구석이 많았다면, 그 때는 꽤나 자신있게 이란의 해킹 단체가 한 짓이라고 말할 수 있습니다.”
더스트맨 공격을 통해 세상은 이란의 해커들이 어느 정도의 실력과 집요함, 그리고 중동 지역에 마련된 각종 네트워크에 어느 정도로까지 접근할 수 있는지 알게 됐다.
더스트맨 공격에서 이란의 해커들은 피해 기업의 VPN 소프트웨어에 있는 취약점을 통해 침투에 성공했다. 그 후 백신 관리 서버를 통해 삭제형 멀웨어를 퍼트렸다. 스토리지 서버에 접근해 저장된 데이터를 확인하고 수동으로 삭제했으며, VPN 접근 로그를 지워 자신들의 흔적을 감췄다. 다만 슬립 모드로 유지되어 있던 일부 시스템에는 접근하는 데 실패하거나 자신들이 목적한 바를 전부 이뤄내지 못했다.
“공격에 우연히 살아남은 시스템에 남은 흔적들을 분석했을 때, 공격자들의 침투 기법이나 활동 사항들을 파악할 수 있었습니다. 재미있는 건 공격자들이 공격의 마무리 단계에서 서두른 흔적이 나타났다는 겁니다. 미국의 공격 개시 일자를 맞추기 위해서 급하게 처리를 한 것으로 보입니다.”
이란 정부와 관련이 있는 해킹 단체로 대표적인 건 APT33과 APT34다. 주로 중동의 국가들과 미국을 노린다. 최근에는 마이크로소프트 아웃룩에 있던 2년 된 취약점을 익스플로잇 해서 다양한 단체들에 피해를 입히기도 했다. 이 취약점은 제대로 패치하기가 어렵다는 특성을 가지고 있는데, 이 점을 잘 간파한 것이라고 보안 전문가들은 말한다.
이란의 사이버전이라고 하면 바레인 석유 회사의 경우처럼 ‘파괴적’인 이미지를 가지고 있지만, 사실 이란 해커 부대가 정말 잘 하는 건 정보를 훔치는 것이다. 보안 업체 크라우드스트라이크(CrowdStrike)의 부회장인 아담 메이어스(Adam Meyers)는 “이들의 여러 은밀한 작전 중 정보 탈취를 위한 캠페인도 상당히 많이 포함되어 있다”고 말한다.
“더스트맨은 파괴적인 도구가 활용된, 삭제 목적의 공격이었습니다. 이란의 정부를 돕거나, 이란 정부의 후원을 받는 단체가 벌인 짓으로 보입니다. 물론 특정 그룹의 이름을 정확하게 댈 수 있을 정도의 증거가 모인 것은 아닙니다. 정보 수집을 더 할수록 배후 세력에 대한 이해도가 높아질 것입니다.” 메이어스는 “이렇게 삭제형 멀웨어를 사용하면 떠들썩하게 알려지기 때문에 이란이 이런 공격에만 특화되어 있는 것처럼 보이다”며 “정보 수집 공격은 은밀해서 잘 드러나지 않지만 오히려 더 많은 비중을 차지한다”고 덧붙였다.
이 사건을 수사한 사우디의 국가 정보보안 센터인 NCSC는 최초 침투가 발생한 건 2019년 7월이며, VPN 애플리케이션 내 취약점이 활용됐다고 발표했다. 최근 펄스 시큐어(Pulse Secure) 등 각종 보안 업체에서 출시한 VPN 앱에서 치명적인 위험도를 가진 취약점이 발견됐었는데, NCSC의 보고서에는 이런 취약점들이 명시되어 있지 않았다.
또한 공격자들은 정상적이고, 서명까지 된 드라이버들을 사용해 윈도우의 보안 기능 일부를 우회하기도 했다고 소닉월의 아이라페토브는 설명을 더한다. “공격자들은 먼저 드라이버를 로딩했습니다. 가상 기계 소프트웨어인 버추얼박스(VirtualBox)를 사용하기 위해서입니다. 그런 후 공격자들은 드라이버를 익스플로잇 해서 또 다른 불량 드라이버를 로딩해 데이터를 덮어씁니다.” 즉 정상 소프트웨어를 통과용으로만 쓰고 곧바로 악성 소프트웨어를 사용하기 시작한다는 것이다.
보안 업체 실버포트(Silverfort)의 CTO인 야론 카스너(Yaron Kassner)는 백신 관리 콘솔을 활용할 때도 주의해야 한다고 설명한다. “해커들이 가장 좋아하는 건 권한이 높은 계정들입니다. 일단 하나만 확보해도 가장 민감한 시스템에 자유롭게 접근할 수 있게 되니까요. 접근만이 아니라 통제도 가능하죠. 그러므로 관리자 계정이 오히려 조직에 큰 독이 될 수 있다는 걸 기억해야 합니다. 항상 이런 요소들에 대한 모니터링이 이뤄져야 하는 게 당연합니다.”
3줄 요약
1. 바레인의 한 국영 회사에 침투한 이란 해커들, 데이터 삭제해 운영 마비시킴.
2. 이란 해커들, 삭제형 멀웨어 자주 사용하지만, 정보 탈취를 더 자주 함.
3. 이번 사건에 VPN 제품 취약점이 악용된 것이 발견되기도 함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
