• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

빙산의 일각? 러시아발 멀웨어 3종 세트 2014.11.21

유로뷰로스, 에너제틱 베어, APT28 분석

러시아 해커들, 완벽한 운영으로 최근에서야 정체 드러나기 시작


[보안뉴스 문가용] 리코디드 퓨처(Recorded Future)의 연구원들이 최근 러시아에서 탄생해 사용되고 있는 주요 멀웨어인 유로뷰로스(Uroburous), 에너제틱 베어(Energetic Bear), APT28을 분석해 보고서를 발표했다. 리코디드 퓨처는 다양한 보안 회사 및 판매 업체들이 제공한 보고서들과 여러 다양한 정보들을 수집하고 분석해 이 셋이 독립적으로 움직이는 게 아니라는 사실을 발견할 수 있었다.

 


그렇게 생각하는 근거는 셋의 공격이 겹치는 경우가 없었다는 것이다. “이 세 가지가 같은 대상을 공격하는 경우는 거의 없었습니다. 어떤 조직이나 누군가가 배후에서 세 가지 멀웨어의 공격을 진두지휘하는 느낌이 들 정도였습니다.” 리코디드 퓨쳐의 CEO인 크리스토퍼 알버그(Christopher Ahlberg)의 설명이다.


러시아의 사이버 범죄는 지하에서 일어나는 게 대부분이었다. 최근 1년 동안에는 그 공격의 대상이 보다 명확해지고 형태가 더 집요해졌다. 타깃형 공격에 좀 더 힘을 주고 있는 듯한 모습으로 변모해가고 있다는 뜻이다. 이는 중국 해커들 역시 마찬가지인데, 이들은 대부분 지적 재산을 노리고 이런 활동을 벌이는 것이 특징이다. 목적이 좀 더 분명하고 노골적이라는 것이다.


“중국은 경제적인 이유가 거의 항상 있습니다. 러시아는 정치적인 목적이 대부분이고요. 특히 에너지 산업을 굉장히 중요시하는 느낌입니다. 자기들 나라에서 나는 가스와 석유를 다른 나라에 팔아야 하거든요. 제품 시장을 노리는 것도 좀 더 빈번하고요.”


유로뷰로스와 에너제틱 베어, APT28은 각각의 고유한 공격 벡터, 익스플로잇, 취약점, 툴킷을 가지고 있다. 또한 셋의 목적성도 다르다고 리코디드 퓨처는 분석 결과를 내놓았다. 유로뷰로스는 에픽 털라(Epic Turla)라고 불리기도 하며 스네이크(Snake), 스네이크넷(SnakeNet)이라고 부르기도 한다. 2008년부터 넷상에 존재했으며 주 타깃은 정부, 대사관, 방위산업, 조사 기관, 교육 기관, 제약 기관이다. 주로 스피어 피싱 이메일, 가짜 플래시 플레이어 업데이트를 통한 우회공격으로 시작된다.


에너제틱 베어는 크라우칭 예티(Crouching Yeti), 코알라 팀(Koala Team), 드래곤플라이(Dragonfly) 등의 이름으로 불리고 있으며 항공, 방위산업, 에너지, 산업 제어 시스템, 석유수송관 운영기관을 주로 노린다. 에너제틱 베어 역시 스피어 피싱 및 우회공격의 방법으로 주로 시작된다.


이 멀웨어의 주요 목적은 공격대상의 네트워크에 오래 남아있는 것이다. “실제 전쟁에서 일정의 스파이 부대가 적진에 몰래 침투해 주변 지리를 파악해 훗날 벌어질 전투에서 유리한 고지를 선점하는 것과 비슷한 역할을 하는 듯 합니다. 시스템이나 네트워크에 오래 머물러 있으면서 군사 및 정치 목적을 달성하는데, 주로 관련 정보를 빼내는 역할을 합니다.”


APT28은 차르 팀(Tsar Team), 세드닛(Sednit), 팬시 베어(Fancy Bear), 오퍼레이션 폰 스톰(Operation Pawn Storm)이라는 이름을 가지고 있다. APT28의 주요 공격목표는 NATO, 동유럽 국가 기관 및 군사 기관, 방위산업, 러시아의 적국 혹은 적대적인 단체다. 파이어아이는 지난 달 APT28이 러시아 정부와 직접 연관이 있다는 사실을 밝혀낸 바 있다. 아웃록의 웹 액세스 사용자들이 가끔 오타내는 걸 노린 타깃형 피싱 공격으로부터 발발하는 게 대부분이다.


보고서에 따르면 중국의 사이버 스파이 행위는 이미 오래 전부터 알려져 왔지만 러시아의 사이버 작전 및 범죄 행각은 최근에 들어서야 세상에 드러나기 시작했다. 그것은 중국의 해커 및 사이버 범죄인들의 운영이 아직 미숙했기 때문이었다. 그렇기 때문에 사실 지금 드러난 러시아의 악질적인 행각들이 빙산의 얼마나 작디작은 일각인지 예상이 불가능한 상태다. 미니듀크(MiniDuke), 코스믹듀크(CosmicDuke), 블랙에너지(BlackEnergy), 샌드웜(Sandworm) 등 아직 러시아와의 관계가 의심은 가지만 정확한 증거가 없어 조사 중인 것도 상당 수 있다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>