공개된 MDM 솔루션 사용해 아이폰 13대 제어 성공
동기나 정확한 공격 기법은 아직 파악 안 돼...피해자 전부 인도에 있어

[보안뉴스 문가용 기자] 아이폰 사용자들을 겨냥한 사이버 공격 캠페인이 발견됐다. 주목할 것은 오픈소스 모바일 기기 관리(MDM) 시스템이 사용된다는 것이라고 시스코 탈로스 팀이 밝혔다.


아이폰 사용자들을 공격하는 방법은 1) 물리적 접근을 통한 기기 감염과 2) 소셜 엔지니어링으로 나뉠 수 있다. 하지만 탈로스는 공격자들이 둘 중 어떤 방법을 주로 사용하고 있는지는 정확히 밝혀내지 못했다. “고도의 표적형 공격이긴 합니다. 또한 공격자들은 표적이 된 아이폰 내 앱을 악성 앱으로 교체하고 사용자 데이터를 가로채려고 부단한 노력을 기울인 것도 분명합니다.”

공격자들은 오픈소스 MDM 솔루션을 이용해 다섯 개의 애플리케이션을 13개의 기기에 설치했다. 모두 인도에 있는 기기들이었다. 이를 통해 공격자들은 문자 메시지를 훔치고, 기기의 위치 정보를 탐색할 수 있었으며, 다양한 데이터를 빼돌릴 수 있었다. 이 공격에 대하여 애플에도 보고가 들어갔으며, 공격자들이 사용하고 있는 인증서에 대한 조치를 취했다.

탈로스의 보안 전문가들은 공격자자들이 왓츠앱(WhatsApp)이나 텔레그램(Telegram) 등 기존 정상 애플리케이션들에 추가 기능을 마음대로 더하는 것을 발견했다. 이 때 공격자들이 사용한 건 봅션즈(BOptions)라는 사이드로딩 기법이다. 그런 후 MDM을 사용해 기능을 추가한 앱을 표적이 된 기기에 설치했다.

주입된 악성 코드는 전화번호, 시리얼 번호, 위치, 연락처, 사용자 사진, 문자, 텔레그램 및 왓츠앱 등의 채팅 메시지와 같은 정보를 훔쳐내고 수집하는 기능을 가지고 있다고 한다.

MDM 서버나 C&C 서버 등을 추적했을 했을 때 이 코드는 최소 2015년 8월부터 사용되어 온 것으로 보인다. 탈로스는 해당 서버들을 추가 분석했고, 이를 통해 공격자가 인도에 위치해 있는 걸 알 수 있었다고 한다.

공격자들은 MDM 서버 두 개를 통해 다수의 기기들을 제어할 수 있었는데, 여기에는 앱 설치 및 삭제, 인증서 설치 및 삭제, 기기 잠금, 비밀번호 변경 등이 포함된다. 하지만 감염된 기기를 MDM에 등록하는 과정에서는 사용자의 행위를 필요로 했다. 이 때문에 시스코 팀은 공격의 과정 중에 소셜 엔지니어링이 최소 한 번은 동원됐다고 분석한다.

“아무래도 공격자들은 피해자들에게 특수한 인증서를 설치하도록 유도한 것으로 보입니다. ios-certificate-update.com과 같은 이름의 도메인을 사용해 사람들을 속이지 않았을까 예상합니다.”

공격자들이 사용한 인증서는 2017년 9월에 발행된 것이었다. 러시아의 어떤 이메일 앞으로 발행되어 있었다. 아무래도 공격자의 진짜 위치인 인도를 속이기 위한 것으로 보인다. 또한 인증서는 공격자들 스스로 서명을 했건, 코모도(Comodo)라는 CA의 서명을 받은 것으로 보인다.

탈로스에 의하면 이번 공격에 영향을 받은 기기들은 모두 인도에 있다. 모델별로 분류하면
iPhone 5.4, iPhone 7.2, iPhone 8.1, iPhone 8.2, iPhone 9.3, iPhone 9.4이고 OS 버전별로 분류하면 10.2.1, 10.3.1, 10.3.2, 10.3.3, 11.0, 11.0.3, 11.2.1, 11.2.5, 11.2.6이다. 그러나 MDM에 공격받은 13개 기기들이 어떤 식으로 등록되어 있는지는 미지수다.

공격의 목적은, 현재로서는, 정보 수집인 것으로 보인다. “아직까지 공격의 표적이 된 사람들이 어떤 기준으로 선택되었는지는 확실하지 않습니다. 이 장비 13대를 공격한 것만으로 어떤 목적을 명확히 이뤘는지도 분명히 이해되지 않고 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>