| APT 공격자 오션로터스, 거대 인프라 구축 | 2017.11.10 |
APT32 또는 오션로터스, 100여개 웹사이트로 인프라 구축
베트남 정부 비판하는 조직과 개인만 목표로 스파이 공격 펼쳐 [보안뉴스 오다인 기자] 이른바 ‘오션로터스(OceanLotus)’라는 APT 공격자 조직이 지금까지 감염시킨 웹사이트들로 거대한 공격 인프라를 구축한 사실이 포착됐다. 오션로터스는 지난 수년 간 베트남 정부의 이익에 부합하는 디지털 감시 공격을 정교하게 펼쳐왔다. 오션로터스는 ‘APT32’라는 이름으로도 알려져 있다.  [이미지=iclickart] 보안 업체 볼렉시티(Volexity)는 오션로터스를 추적해왔다. 볼렉시티는 최근 오션로터스가 감염시킨 웹사이트들로 하나의 네트워크를 구축한 뒤 피해자를 프로파일링하고 첩보를 수집하는 데 사용하고 있다는 사실을 발견했다고 밝혔다. 침해된 웹사이트들은 무분별하게 선택됐다기보다 베트남 정부가 요주의 인물로 가려낸 사람들이 자주 방문하는 웹사이트들로 특정하게 선별된 것으로 추정된다. 오션로터스는 100개가 넘는 웹사이트를 감염시켰다. 이 웹사이트들의 대부분은 베트남 정부에 비판적인 조직 및 개인들에 속하는 것으로 나타났다. 나머지 웹사이트들은 베트남과 국경을 맞대고 있는 국가들에 속한 것들이었다. 침해된 웹사이트들은 정부기관, 군대, 시민사회 단체, 인권단체, 언론사와 연관된 조직 등에 속하는 것으로 나타났다. “전략적으로 특정한 웹사이트들을 침해한 뒤 이곳 방문자들을 프로파일링하고 공격하려는 시도가 포착된 것은 이번 사례가 최초입니다.” 볼렉시티 회장 스티븐 아데어(Steven Adair)는 “오션로터스 공격자들은 상당한 수의 웹사이트를 침해한 후에 광범위한 프로파일링 및 추적 공격을 펼쳤다”고 덧붙였다. 사용자를 유인하기 위해 웹사이트를 침해하고 또 사용한 것은 오션로터스가 새롭게 개발한 수법이다. 이 같은 수법은 공격자들이 전략을 지속적으로 바꾸고 있으며, 이에 방어해야 하는 사람들보다 언제나 한 발짝 앞서기 위해 얼마나 정교한 공격을 펼칠 수 있는지를 보여준다. 오션로터스는 최소 2014년부터 언론사, 시민사회 단체 등을 겨냥해 활동해온 공격자 조직으로 베트남 정부의 이익에 부합하는 일련의 공격에 관여해왔다. 오션로터스의 타깃에는 동남아시아국가연합(ASEAN) 소속 멤버들도 포함돼 있었다. 보안 업체 파이어아이(FireEye)는 지난 5월 발표한 보고서에서 오션로터스가 베트남의 소비재, 제조, 병원 부문에 관심을 갖고 있는 외국 기업들을 겨냥해왔다고 설명했다. 또한, 기술 인프라 기업이나 네트워크 보안 부문 기업도 오션로터스의 타깃이었다고 짚었다. 파이어아이에 따르면, 베트남에서 제조 시설을 짓고 있는 유럽 기업과 역시 베트남에서 관광 산업 개발 계획을 갖고 있는 글로벌 기업, 그리고 은행과 언론업계의 여러 조직들도 오션로터스로 인해 피해를 입은 것으로 나타났다. 앞선 공격에서 오션로터스는 스피어 피싱 및 기타 사회공학적 공격을 사용해 타깃이 정보 유출 멀웨어를 다운로드 받고 시스템에서 실행시키도록 유인했다. 이 같은 미끼는 여러 언어로 작성됐으며 특정한 타깃을 겨냥해 맞춤 제작됐다. 오션로터스가 침해된 웹사이트를 미끼로 특정한 타깃을 식별하고 시스템에서 정보를 훔쳐내기 위한 멀웨어를 심은 건 불과 몇 개월도 되지 않은 일이다. 대부분의 경우, 오션로터스는 사용자 크리덴셜을 사용해 각 웹사이트의 저작물 관리 시스템(CMS: Content Management System)에 직접 접근하거나 구식 플러그인을 익스플로잇함으로써 웹사이트를 침해했다. 하지만 볼렉시티는 오션로터스 공격자가 CMS 시스템 크리덴셜을 최초에 어떻게 확보했는지에 대해선 알아낼 수 없었다고 밝혔다. 웹사이트를 침해하는 데 성공하고 나면 오션로터스는 해당 웹사이트 방문자를 식별하고 방문자의 개별 시스템에 여러 가지 페이로드를 투하하기 위해 다양한 방법을 사용했다. 공격자들은 웹사이트 방문자 전부를 대상으로 페이로드를 투하한 것이 아니라 잠재적인 타깃으로 식별된 방문자만 골라 페이로드를 심었다. 이 페이로드는 염탐 및 정보 유출을 위한 용도로, 타깃의 지메일(Gmail) 계정에 접근하고 연락처를 빼돌리기 위해 맞춤 제작한 구글 애플리케이션도 페이로드에 포함돼 있었다. 또한, 공격자들은 페이스북이나 구글, 클라우드플레어에 속하는 것으로 가장한 수많은 웹사이트를 만들어 멀웨어를 전달하기도 했다. “오션로터스는 특정한 조직을 겨냥할 때 후이즈(WHOIS) 정보 검색 서비스로 각 조직의 IP 주소를 검토하고 식별해낸 것으로 보입니다.” 아데어는 “IP 주소 영역을 파악하고 나면 타깃 목록에 추가했다”고 설명했다. 오션로터스는 선별한 타깃에게 멀웨어를 전달하기 위해 특정한 웹사이트를 공격하고 거대한 네트워크로 구축한 것과 더불어, 핵심 정보 수집 활동을 가속화하려고 방대한 벡엔드 인프라를 구축하기도 했다. 흥미롭게도 오션로터스가 사용한 공격 인프라의 상당 부분은 미국에 위치해 있었다. 아데어는 “이 정도로 성공적인 대규모 공격에는 꽤 큰 노력이 들어가는 데다 아직까지 비교될 수 있을 만한 다른 공격도 없다”고 말했다. 위협 관리 기업 리스크IQ(RiskIQ)의 수석 제품 매니저 스티브 진티(Steve Ginty)는 오션로터스 활동과 관련된 정보를 분석한 결과 이 공격자들이 적어도 2016년 2월부터 지역적인 웹페이지들을 공격해왔다고 설명했다. 진티는 “합법적인 서비스의 도메인을 타이포스쿼팅(typo-squatting)해서 등록하거나 쿠키를 사용하는 수법으로 합법적인 인프라를 흉내 내는 데 오션로터스가 탁월하다”고 말했다. [국제부 오다인 기자(boan2@boannews.com)] Copyrighted 2015. UBM-Tech. 117153:0515BC |
|
 |
