• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

러시아의 해커 그룹 에너제틱 베어가 침해한 서버 들여다보니 2018.04.24

에너지 산업 조직적으로 노려온 악명 높은 단체
침해된 서버 세계 각지에 퍼져 있어...표적 공격 비율은 낮아

[보안뉴스 문가용 기자] 러시아의 보안 업체 카스퍼스키 랩에서 러시아의 악명 높은 위협 행위자 단체인 에너제틱 베어(Energetic Bear)가 침해한 서버들을 분석해 그 결과를 발표했다.

[이미지 = iclickart]


에너제틱 베어는 최소 2010년부터 활동해온 단체로 드래곤플라이(Dragonfly)나 크라우칭 예티(Crouching Yeti)라는 이름으로도 불린다. 에너지 산업을 주로 노려 공격을 일삼는 것으로 유명하다. 미국의 국토안보부와 FBI 역시 에너제틱 베어가 러시아 정부와 연결되어 있음을 공식 인정한 바 있다.

또한 민간 보안 업체인 사일런스(Cylance)는 지난 달 시스코에서 만든 라우터를 어뷰징해 크리덴셜을 훔쳐내고, 이를 가지고 영국의 에너지 산업 기관 및 회사들을 해킹한 것 역시 에너제틱 베어라고 발표했다.

이렇게 에너제틱 베어의 흔적이 여기저기서 나타나고 있는 가운데 카스퍼스키의 분석 역시 이들의 정체를 보다 더 상세히 알게 해주는 데 도움이 될 것으로 여겨지고 있다. 먼저 카스퍼스키가 분석한 서버들은 러시아, 우크라이나, 영국, 독일, 터키, 그리스, 미국에서 발견된 것들로, 이들의 공격 범위가 상당히 넒음을 알 수 있다. 대부분 워터홀 공격에 활용된 서버들이거나 사용자 데이터를 훔쳐 저장하기 위한 용도를 가지고 있는 것으로 나타났다.

에너제틱 베어는 워터홀 공격을 통해 다양한 정보를 수집했다고 한다. 이에는 IP 주소, 지적 재산, 사용자 이름, 도메인 이름, 사용자 비밀번호의 NTLM 해시값 등이라고 카스퍼스키는 밝혔다.

이렇게 침해된 서버들은 또 다른 공격을 위한 자원으로서 활용되었는데, 에너제틱 베어는 이 서버들을 통해 여러 툴들을 활용했다. 여기에는 웹사이트 및 스캐닝 툴도 포함된다. 한 번 침해한 서버를 통해 다른 취약한 웹사이트나 서버를 찾아나섰다는 것이다. 이렇게 해서 스캔이 된 자원들은 대부분 러시아, 우크라이나, 터키, 브라질, 조지아, 카자흐스탄, 스위스, 미국, 프랑스, 베트남에 집중되어 있었다.

스캔이 된 사이트들이나 서버들 사이에 연관성은 없어 보인다. 공격자들은 무작위로 자신들의 공격과 악성 툴들을 호스팅하기 위해 취약한 것들을 골라 공격한 것으로 보인다. 특정 표적을 뚫기 위해 여러 번 시도한 흔적도 일부 예외적인 경우만 빼놓고는 발견되지 않았다.

카스퍼스키는 여러 서버들에서 오픈소스나 대중에게 무료로 공개된 툴들을 다수 발견했다. 네트워크 분석 툴인 엔맵(Nmap), 웹사이트에서 브루트 포스 공격을 가능케 해주는 더서치(Dirsearch), SQL 인젝션 익스플로잇 툴인 Sql맵(Sqlmap), 웹사이트 서브도메인 생성 툴인 서브리스터(Sublist3r), 워드프레스 취약점 스캐너인 Wp스캔(Wpscan), 취약점 검색 및 명령 주입 툴인 임패킷(Impacket), SMB트랩(SMBTrap), 코믹스(Commix), 서브도메인 생성 툴인 서브브루트(Subbrute), 메일 전송 툴인 PHP메일러(PHPMailer) 등이다.

여러 디렉토리 내에서는 악성 php 파일들도 다수 발견됐다. 백도어가 미리 심겨진 서버의 경우 조작된 sshd가 발견되기도 했다. 백도어들은 대부분 깃허브에 공개된 툴과 비슷했고, 모든 종류의 OS에서 컴파일링이 가능했다. 감염된 서버에 있는 원래 sshd를 악성 sshd로 바꿈으로서 공격자들은 마스터 비밀번호를 사용할 수 있게 되었고, 이를 통해 원격 서버에 로그할 수 있었다고 한다.

공격자들은 그때 그때 필요한 툴들을 설치해 활용한 것으로 보인다. 그러나 SMB트랩 툴의 로그 파일을 확인한 시간은 거의 항상 같았다고 한다. 아마도 일정한 시간에 출퇴근을 하거나 스케줄을 잡아 주기적으로 일을 처리한 것 같아 보인다고 카스퍼스키는 분석한다.

에너제틱 베어가 일반인들도 사용할 수 있는 툴들을 많이 활용함으로서 공격자로서 자신들의 존재를 숨길 수 있었다. 또한 이들이 공략한 취약점이나 공격 방법도 다양해 사실상 세계 모든 서버들이 이들의 공격에 당할 가능성을 가지고 있다고 봐도 무방하다고 카스퍼스키는 경고한다. 꼭 에너지 산업만 조심할 것이 아니라는 뜻이다.

이런 대단위 침해 서버들을 가지고 에너제틱 베어는 취약점을 검색하거나, 오랜 기간 머무를 발판을 마련하거나, 인증과 관련된 정보를 훔쳐냈다.

카스퍼스키는 결론적으로 “에너제틱 베어 자체는 고객을 따로 두고 그들로부터 의뢰를 받아 행동하는 단체일 가능성이 높다”고 결론을 내리고 있다. “그리고 공격을 위한 데이터 수집, 그러는 와중에 인증과 관련된 데이터 수집, 공격을 더 활발히 하거나 추가하기 위한 기반 마련 활동을 차례로 펼쳐온 것으로 보입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>