파이어아이, 러시아 해킹 그룹 APT29의 해킹분석 보고서 발표

최첨단 멀웨어 해머토스의 트위터를 이용한 해킹 과정 심층 분석

[보안뉴스 민세아] 트위터, 깃허브(GitHub), 클라우드 저장소 등을 이용해 해킹을 감행한 러시아 사이버 위협 그룹의 해킹 과정이 공개됐다.

지능형 사이버 공격 방어 기술 전문업체인 파이어아이는 29일(현지시각) 러시아 해킹 그룹 APT29에 대한 내용을 밝힌 ‘해머토스: 러시아 사이버 위협 그룹의 데이터 유출 전술(HAMMERTOSS: Stealthy Tactics Define a Russian Cyber Threat Group)’이라는 인텔리전스 보고서를 발표했다.

이번 보고서에 따르면, 러시아 사이버 위협 그룹 APT29는 최첨단 멀웨어 툴인 해머토스(Hammertoss)를 사용해 피해자의 정보를 빼돌리고 있는 것으로 밝혀졌다.

인텔리전스 연구진들은 이들이 정보를 빼돌리는 데 사용한 것은 트위터, 깃허브(GitHub), 클라우드 저장소 등 합법적 웹 서비스이기 때문에 피해자의 네트워크 상에서 악성코드와 합법적 트래픽을 구분하는 것이 다른 해킹 공격보다 더 어렵다고 전했다.

해머토스는 매일 다른 트위터 핸들에 접속을 시도하는 알고리즘을 가지고 있었다. 트위터 핸들이란 트위터 계정과 연계된 사용자 ID이며 예를 들어 @FireEye란 트위터 핸들이 생성될 경우 https://www.twitter.com/fireeye란 트위터 계정이 만들어진다.

해머토스가 포함하고 있는 알고리즘은 매일 다른 트위터 핸들에 접속을 시도하며, APT29가 해당 트위터 핸들에 미리 작성해 놓은 URL에 접속해 업로드 된 이미지를 다운로드했다.

해머토스가 다운로드 한 이미지는 평범해 보이지만 스테가노그라피(steganography)라는 암호화 기술을 사용해 APT29가 삽입한 암호화된 명령이 포함돼 있으며, 해머토스는 이를 복호화하고 피해자의 데이터를 클라우드 저장소에 업로드 하라는 명령을 실행한다.

스테가노그라피는 전달하려는 기밀 정보를 일반적인 이미지 파일이나 MP3 파일 등에 암호화해 숨기는 기술로, 겉으로만 봐서는 내부에 어떤 메시지가 포함됐는지 알 수 없다.

파이어아이 인텔리전스팀은 APT29 해킹 그룹이 2014년부터 활동했으며, 이들이 해킹을 통해 수집하는 정보내용을 토대로 볼 때 러시아 정부의 지원을 받고 있을 것으로 추정했다.

또한, 이들은 러시아 공휴일에 활동하지 않았을 뿐 아니라 주로 활동한 시간을 협정세계시(UTC) 기준으로 추정해 볼 때 모스크바나 상트페테르부르크에서 주로 활동하는 것으로 추정된다는 게 파이어아이 측의 분석이다.  

파이어아이의 박성수 멀웨어 분석가는 “APT29의 해머토스 멀웨어는 트위터 핸들을 순환시키는 알고리즘과 이미지에 암호화된 명령정보 삽입기술을 사용하는 등 다양한 해킹 기술을 접목했다”며 “기존에 존재했던 멀웨어의 기능들을 모두 조합했기 때문에 피해자의 네트워크에서 악성코드를 탐지하기 어려운 것이 특징”이라고 설명했다.

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>