정부 기관 주로 노리던 단체, 최근 IT 및 통신, 에너지 산업도 노려
오픈소스 툴 사용하고 조작함으로써 빠르고 효율적인 변화 추구

[보안뉴스 문가용 기자] 사이버 정찰을 주로 하는 공격 단체인 시드웜(Seedworm)이 최근 활동량을 늘리고 있다. 공격 표적도 통신, IT, 석유, 가스로 확장됐다. 이에 대해 보안 업체 시만텍(Symatec)이 발표했다.


시만텍의 보고서에 따르면 시드웜은 머디워터(MuddyWater)라는 이름으로도 알려져 있고, 꾸준한 진화라는 특장점을 가지고 있다고 한다. 또, 모든 사람들에게 공개된 툴들을 주로 사용하는 단체이기도 하다. 이 시드웜은 못해도 2017년부터 활동을 시작했으며, 이번 달 다른 보안 업체에 의해 추적된 바 있다. 중동, 유럽. 북아메리카에서 정보 수집을 하다가 발각됐다.

시만텍은 9월 시드웜과 APT28(혹은 팬시 베어라고도 불린다)이 브라질에 주재하고 있는 석유 생산국 대사관의 기계를 침해했다는 걸 발견했다. 한 시스템에 두 해킹 그룹이 같이 침투했다는 건 좋은 소식이 있다. “처음에는 한 단체인줄 알았어요. 하지만 두 단체가 동시에 각각의 공격을 실시하고 있는 것이더군요.” 시만텍의 첩보 분석 책임자인 조나단 롤스타드(Jonathan Wrolstad)의 설명이다.

“물론 대사관은 사이버 공격자들의 변치 않는 관심 대상입니다. 공격이 겹치는 게 마냥 이상한 것만도 아닙니다. 그래서 저희도 두 단체가 동맹 관계에 있다거나 힘을 합쳤다고 보지 않습니다. 우연히 공격 대상이 같았다고 결론을 내렸습니다.”

시만텍은 일단 시드웜 쪽에 집중하기로 했다. 그러면서 새로운 정보들을 찾아내기 시작했다. “중동에 근거지가 있을 확률이 높습니다. 주요 표적은 대사관, 정부 기관들인데 대부분 중동에 위치한 곳들입니다. 하지만 최근 들어 석유와 가스 산업, 통신 기업, IT 업체들도 공격하기 시작했습니다. 표적을 확장했다는 건 새로운 소식입니다.”

시드웜은 9월 중순부터 11월 말까지 131곳을 공격했는데, 39%가 파키스탄, 14%가 터키, 8%가 러시아, 5%가 사우디아라비아에 분포되어 있었다. 1/4은 통신 업체, 16%는 정부 기관과 IT 서비스, 14%는 석유와 가스 생산과 관련된 기업들이었습니다. 롤스타드는 “아직 시드웜이 왜 통신 및 IT 기업들을 노리는지 확실히 알아내지 못했다”고 설명했다. “하지만 석유 쪽을 노리는 건 금전적인 목적을 달성하기 위한 것이라고 봅니다.”

전략과 전술
롤스타드는 “시드웜이 중요시 하는 건 속도와 유연성”이라고 설명한다. “자신들의 흔적을 감추거나 몰래 움직이는 걸 상대적으로 등한시 여기죠. 그래서 여기 저기 보안 업체들에게 발각되는 겁니다. 속도와 유연성을 중요하게 생각하기 때문에 새로운 전략과 기술을 다양하게 실험해보기도 하는 것이고요.”

프루프포인트는 추적을 통해 시드웜이 파워머드(Powermud)라는 기존 백도어의 새로운 변종을 사용하기 시작했다는 것도 발견했다. 또한 비밀번호 탈취, 리버스 셸 생성, 권한 상승, 윕도우의 캐비넷 생성 툴을 활용하는 기능을 가진 공격 툴을 만들어 사용하는 것도 알아낼 수 있었다.

“파워머드는 시드웜이 2017년 초반부터 사용해온 툴로, 현재까지 쉬지 않고 업데이트 된 것으로 알려져 있습니다. 이번 변종과 파워머드 모두 파워셸을 기반으로 한 툴이지만, 이 새 변종은 완전히 새 것처럼 보일 정도로 엄청난 변화를 거쳤습니다. 그래서 이 변종에는 따로 이름을 붙였습니다. 파워머디(PowerMuddy)라고 말이죠.” 롤스타드는 파워머디가 발견된 건 올해 여름부터라고 설명을 덧붙였다.

파워머드는 프록시 네트워크 뒤에서부터 조종된다. C&C의 위치를 숨기기 위해서다. 파워머드든 파워머디든 침해에 성공하면 공격자들은 다른 툴을 사용해 브라우저나 이메일 계정에 저장된 비밀번호를 훔친다. “이메일, 소셜 미디어, 채팅 앱 등에 접근하려는 의도가 엿보이는 부분입니다.”

물론 그것만이 목표는 아니다. “시드웜은 라자냐(LaZagne)와 크랙맴이그젝(Crackmapexec)이라는 오픈소스 툴을 사용해 윈도우 인증 크리덴셜을 훔쳐내기도 합니다. 오픈소스 그대로 사용하기도 하지만 자신들의 목적에 맞게 커스터마이징도 합니다. 오픈소스 툴을 사용하는 건 이처럼 다른 이들의 코드를 활용해 자신들의 활동에 유연성과 속도를 더하기 위함입니다.”

시만텍의 제품 관리 책임자인 알 쿨리(Al Cooley)는 “이들의 다음 공격은 예측이 불가능하다”고 말한다. “늘 변화를 꾀하는 조직이기 때문입니다. 작전을 그대로 유지하는 그룹들은 은밀하게 움직이는 걸 선호해 탐지가 어렵다면, 시드웜처럼 변하는 그룹들은 변화무쌍하기 때문에 예측이 어렵다는 특징을 가지고 있습니다. 둘 다 일장일단이 있죠.”

변화를 자주 하는 그룹들 중에서도 시드웜이 특별한 이유가 있다. 롤스타드는 “오픈소스 등 다른 이들이 개발한 걸 많이 가져다 쓴다는 것”이라고 설명한다. “자신들의 목적에 맞게 툴을 만들어 쓰는 그룹들보다 속도가 빠를 수밖에 없습니다. 그리고 성공률도 높고요. 정말 효율성 하나 만큼은 최적화 된 운영을 보여주는 공격자들입니다.”

시만텍이 설명하는 시드웜의 마지막 특징은 “주목받기 좋아한다”는 것이다. “보통 공격자들은 모습을 드러내지 않고 싶어합니다. 그래서 보안 관련 뉴스도 잘 읽어보고, 자신들이 어디까지 들켰는지 분석하죠. 그러나 시드웜은 좀 달라요. 자신들에 대한 분석이나 발표 내용을 보고 즐기는 듯 합니다. 일례로 이들이 보안 업체들 사이에서 머디워터라고 불린 이후부터 ‘머디’라고 이름 붙인 툴을 사용하기 시작했습니다.”

3줄 요약
1. 중동 출신으로 보이는 해킹 그룹, 시드웜 혹은 머디워터. 속도와 유연성 제일 중요하게 생각.
2. 최근 활동량 늘리며 더 많은 대상 공격하기 시작. 오픈소스 사용함으로써 빠르게 변하기 때문에 예측 어려움.
3. 미디어나 보안 업체가 자신들에 대해 말하는 걸 즐기는 듯한 모습.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>