이란의 두 단체인 카델과 샤퍼, 중동 지역에 백도어 퍼트려
두 조직 사이에서 연관성 발견되기도

[보안뉴스 문가용] 2014년 7월 이후부터 이란 안과 밖의 특정 인물이나 조직을 겨냥해 고급 사이버 공격 및 감시 활동을 벌인 두 개의 조직이 시만텍에 의해 발견되고, 분석되었다. 시만텍은 두 그룹이 자체 개발한 백도어를 퍼트리고 있으며, 이를 통해 정보를 다량으로 수집하고 있다고 전했다.

시만텍은 이 두 단체의 이름을 카델(Cadelle)과 샤퍼(Chafer)로 정했다. 현재까지 이 두 단체는 각각 10명 내외의 멤버들로 구성된 것으로 보이며 서로가 모종의 관계에 있는 것으로 추정되고 있다. 이 둘이 노린 피해자들 역시 이란의 국익과 밀접한 관련이 있는 것으로 밝혀졌다.

카델은 카델스파이(Cadelspy)라는 이름의 트로이목마를 주로 사용해왔으며 샤퍼는 레멕시(Remexi)나 레멕시B(Remexi.B)라는 이름의 트로이목마를 사용해왔다고 시만텍은 보고했다.

이 두 단체가 노린 표적들은 대부분 이란 내에서 거주하고 있는 개인들이라고 한다. 이 개인들이 이란의 인터넷 서비스 제공업체 및 클라우드 호스트 업체의 고객들이라는 사실로 유추한 것이라고 한다. 피해자들 대부분은 익명의 프록시 서버를 통해 인터넷에 접속하는 자들로, 이란에서 이런 식으로 인터넷을 사용하는 사람들은 정부의 뜻에 반하는 활동을 하는 경우가 대부분이다.

카델과 샤퍼는 또한 중동의 항공사와 통신사들도 노리고 공격을 감행했다. 그러나 이는 해당 업체나 국가 자체를 노렸다기보다 이란 내에서 감시하고 있던 개인들을 추적하기 위해서였다고 보인다. 주로 사우디아라비아와 아프가니스탄의 업체들이 표적이 되었으며 미국도 한 군데 이상 당했다.

아직 카델이 어떤 식으로 최초 침입을 성공시켰는지는 밝혀지지 않고 있다. 다만 샤퍼의 경우, 웹 서버에 SQL 인젝션 공격을 실행한 것으로 보이며, 이를 통해 시스템에 레멕시를 심고 사용자 이름과 암호 등의 정보를 수집했다고 한다.

그렇다면 시만텍이 이 두 해킹 단체가 모종의 관계에 있는 것 같다고 추정하는 건 어떤 이유에서일까? 이들이 사용한 악성 툴들이 같은 장소에서 나타나기 때문이다. “감염된 시스템을 검사해보면, 카델스파이와 레멕시가 동시에 들어있는 경우가 대부분이었습니다. 감염된 시간 차이도 거의 없고요. 심지어 한 컴퓨터에서는 카델스파이와 레멕시가 1분 차이로 침투하기도 했습니다.” 또한 두 단체 다 웹 개발자의 파일과 데이터베이스 서버를 주로 노렸다는 것도 같다.

두 단체 모두 같은 시간에 활동하고 같은 지역대에 있는 것도 추가로 발견되었다. 다만 C&C 서버와 같은 주요 인프라를 공유하고 있는 정황은 아직 발견되지 않았다.

이처럼 이란의 해킹 단체가 특정 개인을 대상으로 나라 안이든 밖에서 무차별적으로 감시활동을 벌인 건 이번이 처음이 아니다. 작년 12월, 보안 업체인 사일런스(Cylance)는 오퍼레이션 클리버(Operation Cleaver)라는 이란의 해킹 단체를 발견한 적이 있는데, 이들은 약 16개국에서 50건이 넘는 인프라 해킹을 시도한 것으로 알려져 있다. 대부분은 에너지 산업, 석유 및 천연가스 관련 산업, 이동 및 운수 산업, 기술 산업, 통신 산업이 표적이었다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>