솔라윈즈 사태 일으킨 노벨륨, 수년 동안 들키지 않고 사용한 도구도 보유

요약 : 솔라윈즈(SolarWinds) 사태를 일으켰던 사이버 공격자들의 공격 도구들이 계속해서 발견되고 있는 가운데, 최소 2019년부터 현재까지 사용되어 온 것들도 섞여 나오고 있다. 즉 보안 업계의 눈을 피해 수년 동안 몰래 사용되어 온 도구들이 있다는 것이다. 최근에는 보안 업체 크라우드스트라이크(CrowdStrike)가 골드맥스(GoldMax)의 리눅스 버전과 트레일블레이저(TrailBlazer)라는 새멀웨어들을 발견한 바 있다. 둘 다 솔라윈즈 사태가 벌어지기 한참 전부터 사용되어 온 것으로 알려져 있다.


배경 : 골드맥스는 선셔틀(Sunshuttle)이라고도 불리며, 2021년 3월 MS와 파이어아이(FireEye)가 최초로 발견한 바 있다. 고(Go) 언어를 기반으로 한 백도어다. 트레일블레이저는 모듈 구성의 백도어로 구글 알림 HTTP 요청들을 사용해 C&C 행위를 실행하는 것으로 알려져 있다.

말말말 : “솔라윈즈 사태를 일으킨 자들은 노벨륨(Nobelium)이라고 불리며, 러시아 군과 관련이 있는 것으로 알려져 있습니다. 컴퓨터 관련 지식이 출중하며, 따라서 기술력이 대단히 높은 것으로 보입니다.” -크라우드스트라이크-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>