또 다른 해킹그룹 ‘라자루스’ 그룹 개입 가능성 있어

요약 : 보안 외신 블리핑컴퓨터에 따르면 북한의 국가 배후 해킹그룹 ‘스카크러프트(ScarCruft)’가 러시아 우주 로켓 디자인 및 대륙간 탄도 미사일 공학 기관인 NPO 마신오스트로예냐(Mashinostroyeniya)의 IT 인프라와 이메일 서버에 사이버 공격을 감행했다. 특히 단독 수행이 아닌 북한의 또 다른 해킹그룹 ‘라자루스(Lazarus)’의 개입도 의심을 받고 있다. 그들이 사용하는 ‘오픈 캐럿(OpenCarrot)’이라는 윈도우 백도어 공격이 가해졌기 때문이다. 만약, 두 해킹그룹의 개입이 확실하다면 북한 정부의 의도적인 전략일 수 있다는 분석이 나온다.


배경 : NPO 마신오스트로예냐 제조사는 사내 시스템에 악성 DLL을 발견한 후 보안기업과 협력해 감염 경로와 방법을 확인했다. 결론은 ‘오픈캐럿’의 변형이 이루어진 DLL 파일이었다. 해당 악성 기능으로 △정찰 △파일 시스템 및 프로세스 조작 △재구성 및 연결 등 총 25개의 명령을 지원한다. 동시에 리눅스 이메일 서버에 비정상적인 트래픽이 감지됐고, 해당 트래픽은 외부 신호를 스카크러프트 인프라로 보낸 것이 확인됐다.

말말말 : “이 사건은 북한이 미사일 개발 목표를 수립하고 추진하려는 적극성이 보이는 사례입니다. 특히 러시아 국방산업기지 기관을 직접 공격했다는 점은 눈여겨볼 만합니다.” -센티넬랩스-
[이소미 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>