• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

중국의 사이버 스파이 그룹들, 힘 합치나 2018.03.19

다양한 사이버 스파이 그룹들, 최근 여러 면에서 겹치기 시작
엔지니어링과 해양 산업이 지난 수개월 동안 가장 선호되는 표적

[보안뉴스 문가용 기자] 중국과 연계된 사이버 스파이 그룹이 최근 몇 개월 동안 엔지니어링과 해양 산업 기관들에 집중해왔다는 보고서가 보안 업체 파이어아이(FireEye)에 의해 발표됐다. 파이어아이는 이 단체를 레비아탄(Leviathan) 혹은 템프페리스콥(TEMP.Periscope)이라고 부른다.

[이미지 = iclickart]


“최근 이들의 활동량이 급증했습니다. 정확히는 2017년 여름부터였고요, 다른 중국 스파이 그룹과 마찬가지로 기존의 툴킷을 새롭게 고쳐서 등장했습니다.” 레비아탄은 5년 동안 활동해왔으며, 주로 남중국해 문제와 관련해 사이버 공격 행위를 일삼았다고 한다. 미국의 연구 학회, 싱크탱크들이 주요 표적이었다. 또한 홍콩과 유럽의 학술 단체들도 비슷한 공격을 받았다.

레비아탄이 현재 보여주고 있는 전술과 공격 표적은 템프점퍼(TEMP.Jumper)라는 그룹과 상당히 겹친다고 파이어아이는 분석한다. 또한 이 템프점퍼는 난하이슈(NanHaiShu)와 비슷한 면모를 보인다고 한다. 하지만 이 세 단체의 연관성에 대해서는 정확히 밝혀진 바가 없다.

이 세 단체가 겹치는 부분이 또 있다. 바로 공격에 사용하는 툴이다. 백도어, 정찰용 툴, 파일 탈취기, 웹셸 등 다양한 도구들이 사용됐다. 백도어 중 가장 많이 사용되는 건 에어브레이크(Airbreak)로, 자바스크립트로 만들어진 툴이며, 침해된 웹페이지의 감춰진 문자열로부터 명령어들을 추출한다. 또한 정상적인 서비스들에 숨어 공격자가 제어할 수 있도록 해주기도 한다.

두 번째로 많이 사용되는 백도어는 배드플릭(Badflick)으로, 파일 스템을 조작하고, 리버스 셸(reverse shell)을 생성하며, C&C 설정을 변경시키기도 한다. 또 다른 백도어는 포토(Photo)라고 불리며, DLL을 기반으로 하고 있다. 디렉토리, 파일, 드라이브 목록 정보를 공격자에게 전송하고, 리버스 셸을 생성하며, 화면, 영상, 오디오 정보를 기록, 추출한다. 또한 프로세스를 만들거나 종료시킬 수도 있으며 레지스트리 키와 값을 바꿀 수도 있고, 키스트로크 로깅과 사용자 이름 및 비밀번호를 빼낼 수도 있다. 각종 파일들을 읽고, 만들고, 수정하는 것도 가능하다.

레비아탄이 주로 사용하는 툴 중에는 홈프라이(Homefry)도 있다. 64비트 윈도우에서 비밀번호를 덤핑하고 크래킹하는 도구로 에어브레이크와 배드플릭과 함께 사용된다. 두 백도어를 통해 명령어가 전달되면, 이에 따라 로그인 세션이 발생할 때마다 평문으로 크리덴셜을 출력하는 기능을 담당한다. 크리덴셜 말고도 NTLM 해시와 멀웨어 버전 등도 평문으로 나타낼 수 있다.

또 다른 툴로는 런치머니(Lunchmoney)와 머키탑(Murkytop)이 있다. 런치머니는 파일들을 드롭박스(Dropbox)로 빼돌리고 머키탑은 파일을 실행, 이동, 삭제하는 기능을 가진 툴이다. 또한 머키탑은 호스트를 발견해내고 열린 포트를 스캐닝할 수도 있으며, OS, 사용자, 그룹 정보를 추출해내는 역할도 맡는다.

보다 더 최근 레비아탄은 차이나 차퍼(China Chopper)라는 코드 주입 웹셸 역시 사용하기 시작했다고 파이어아이는 보고하고 있다. 이 웹셸은 마이크로소프트의 닷넷 코드를 HTTP POST 명령어 내에서 실행시키는 기능을 가지고 있다. 즉 파일을 다운로드 및 업로드 할 수 있고, 애플리케이션을 실행시킬 수 있으며, 디렉토리 내 내용들을 목록화하고 액티브 디렉토리에도 접근할 수 있다는 뜻이다.

이런 멀웨어들을 어떻게 시스템 내에 안착시키는 걸까? 파이어아이가 추적한 바에 의하면 스피어피싱 공격을 활용한다고 한다. “CVE-2017-11882 취약점을 익스플로잇하는 악성 문서들이 첨부된 메일을 피해자에게 보냅니다. 사용자가 이 문서를 열면 훔친 코드 서명 인증서가 발동되어, 멀웨어에 대한 서명이 이뤄집니다. 그리고 윈도우 관리 툴(WMI)과 윈도우 바로가기 파일(.lnk) 등을 통해 시스템 내에 오랫동안 남아있습니다.”

파이어아이는 여러 스파이 단체들의 행위나 전략, 툴들이 겹친다는 점을 두고 “한 지휘 체계 아래 사이버 단체들이 공동의 작업을 진행 중에 있는 것으로 보인다”고 분석한다. “힘을 모아 중국에 경제적인 이점을 제공할 수 있는 정보나 각종 연구 및 개발 자료, 지적 재산 등을 모으고 있습니다. 최소한 상업적 협상에서 중국 측이 우위를 점할 수 있는 정보들을 가져가려는 것으로 보이기도 합니다.”

중국에서는 최근 시진핑이 강력한 집권 체제를 이루는 데 성공하며, ‘현대판 차르’라는 우려 섞이 명칭을 얻어낸 바 있다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>