중동에서 활동 지속하고 있어...발각될 때마다 사라졌다가 업그레이드
팔레스타인 자치정부가 주요 공격 대상인듯...하지만 확신할 수는 없어

[보안뉴스 문가용 기자] 팔레스타인을 점령하고 있는 테러 조직인 하마스(Hamas)가 배후에 있는 것으로 알려진 APT 그룹 가자 사이버갱(Gaza Cybergang)이 중동에서의 활동을 지속시키고 있다는 보고서가 보안 업체 체크포인트(Check Point)에서 발표됐다.


공격자들은 스피어피싱으로 공격을 시작한다고 체크포인트는 설명하고 있다. 해당 이메일에는 스스로 압축을 해제하는 파일이 첨부되어 있으며, 압축이 풀리면 워드 문서 하나와 악성 실행파일 하나가 나타난다고 한다. “이메일 내용 자체는 팔레스타인에서의 정치적 상황과 관련된 것들이 많습니다. 여러 관련 기사들을 스크랩한 이메일도 있고요.”

이 이메일에 속은 사용자들은 워드 파일의 내용을 읽느라 시간을 보내게 되어 있고, 그러는 동안 악성 실행파일은 시스템에 멀웨어를 설치한다. 이 멀웨어는 마이크롭시아(Micropsia)의 업그레이드 버전으로, 마이크롭시아는 이전부터 가자 사이버갱단이 주력으로 사용해오던 무기다. 스크린샷을 저장하고, 문서를 훔쳐 빼돌리며, 시스템을 리부팅하고 기기 정보를 훔치는 기능을 가지고 있다. 자가 파괴 기능 역시 포함되어 있다.

마이크롭시아는 한 마디로 다양한 모듈 삽입을 통해 여러 기능을 발휘하는 멀웨어인데, 각 모듈은 미국 TV 쇼에 나오는 캐릭터들의 이름을 가지고 있다. 체크포인트가 발견한 모듈 샘플들은 BMW에서 만든 자동차 모델명을 가지고 있기도 했다.

이 캠페인의 가장 직접적인 목표는 팔레스타인 자치정부인 것으로 보인다. 하마스가 가자 지구를 완벽하게 통솔하기 위해 사이버 작전을 펼치고 있는 것으로 분석된다. 체크포인트에 의하면 가장 최근에는 지난 3월에 공격이 발생했고, 여러 정황을 미루어 보았을 때 가자 사이버갱이 가장 유력한 공격자로 보인다고 한다.

“가자 사이버갱은 공격 대상을 신중하게 고르는 것으로 알려져 있습니다. 또한 스스로 만든 정보 탈취 멀웨어를 사용하고 있고, 이를 통해 여러 정보를 수집한 후 추가적인 작전을 실시합니다. 하지만 작전이 워낙 은밀하고 비파괴적으로 진행되고 있어 공격자의 궁극적인 동기는 확신할 수가 없는 상태입니다.” 체크포인트가 자사 블로그에 올린 내용이다.

가자 사이버갱은 최소 2012년부터 활동을 해온 것으로 보이며, 그 동안 여러 보안 업체에 적발되어 왔다. 가자 해커스 팀(Gaza Hackers Team) 혹은 몰랫츠(Molerats)라는 이름으로도 불린다. 이스라엘, 이집트, 사우디아라비아, UAE, 이라크, 미국, 일부 유럽 국가들을 공격해왔다.

자신들의 캠페인이 발각될 때마다 공격을 잠시 중단해왔으나, 다시 나타났을 땐 이전보다 업그레이드 된 모습이었다. 공격 툴과 기법 모두에서 커다란 향상이 있어왔다고 보안 전문가들은 말한다. 그러면서 공격 대상들도 늘어났다.

마지막으로 가자 사이버갱에 대한 보고서가 나온 건 2017년 10월의 일이다. 보안 업체 카스퍼스키가 발표한 것으로, 당시에도 중동과 북미의 일부 기관들을 노렸다고 발표됐다. 특히 석유 및 가스 관련 회사들이 집요하게 공략당했다.

시스코의 탈로스 팀도 작년 가자 사이버갱에 대한 보고서를 발표한 바 있다. 당시는 팔레스타인의 경찰 및 사법 기관에 대한 공격이 주를 이뤘다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>