Offcanvas

보안

“올림픽 디스트로이어, 유럽의 생화학 위협 대응 기관 노리며 활동 재개” 카스퍼스키랩

2018.06.22 편집부  |  CIO KR
카스퍼스키랩이 평창 동계 올림픽 당시 개막식을 노린 파괴형 네트워크 웜바이러스 공격으로 유명해진 올림픽 디스트로이어를 추적한 결과, 그 배후 조직이 여전히 활동을 이어가고 있는 것으로 확인했다고 밝혔다. 이들은 독일, 프랑스, 스위스, 네덜란드, 우크라이나, 러시아를 중심으로 생화학 공격 방어와 관련된 기관을 노리고 있는 것으로 보인다.

올림픽 디스트로이어는 파괴적인 네트워크 웜바이러스를 이용해 사이버 사보타주 작전으로 2018년 평창 동계 올림픽 주최측, 협력 업체를 덮친 지능형 공격이다. 이 공격의 발원지를 가리키는 지표가 다양하게 나타난 탓에 2018년 2월 정보 보안 업계는 다소 혼란을 겪었다.

한 때 북한과 관계있는 공격 집단인 라자루스(Lazarus)가 배후에 있음을 가리키기도 했지만 3월에 카스퍼스키랩에서 정밀 확인한 결과, 올림픽 디스트로이어는 정교하게 그 증거를 위장했으며 라자루스가 공격의 발원지일 가능성은 낮은 것으로 밝혀졌다. 현재 연구원들은 올림픽 디스트로이어 공격이 기존 침투 및 정찰 도구를 이용해 유럽에 있는 기관을 표적으로 다시 활동을 재개하고 있음을 포착했다.



이 공격자는 동계 올림픽 공격 준비에 사용된 공격 문서와 매우 유사한 스피어피싱 문서를 통해 악성 코드를 유포하고 있다. 피해자를 유인하는 데 사용된 문서 중에서는 살리스버리(Salisbury) 공격 조사에서 핵심적인 역할을 한 스피에즈 연구소(Spiez Laboratory)의 주도로 스위스에서 열린 생화학 공격 컨퍼런스인 ‘스피에즈 컨버전스(Spiez Convergence)’를 언급하는 문서가 있었다. 어떤 문서는 우크라이나의 보건 및 축산 관리 정부 기관을 표적으로 하고 있으며 일부 스피어피싱 문서는 러시아어와 독일어로 작성돼 있다고 연구원들은 밝혔다.

악성 문서에서 추출된 모든 최종 악성 행위는 감염된 컴퓨터에 일반 액세스를 제공하도록 설계돼 있었다. 두 번째 공격 단계에서는 파워셀 엠파이어(PowerShell Empire)로 널리 알려진 무료 오픈 소스 프레임워크가 사용됐다.

공격자들은 줌라(Joomla)라는 유명한 오픈 소스 콘텐츠 관리 시스템(CMS)을 사용하는 정상적인 웹 서버를 감염시켜 악성 코드를 호스팅하고 제어하는 것으로 보인다. 연구원들은 악성 페이로드를 호스팅하는 서버 중 하나가 2011년 11월에 발표된 줌라 버전(v1.7.3)을 사용한다는 사실을 밝혀냈다. 이는 업데이트하지 않는 CMS가 서버 해킹에 사용될 위험이 있음을 시사한다.

카스퍼스키랩의 원격 분석과 멀티스캐너 서비스에 업로드된 파일에 따르면 올림픽 디스트로이어는 독일, 프랑스, 스위스, 네덜란드, 우크라이나, 러시아에 있는 업체에 관심을 두고 있는 것으로 보인다.

카스퍼스키랩코리아의 이창훈 지사장은 “올해 초 나타난 올림픽 디스트로이어의 위장 기법은 기존 공격자 추적 기법을 완전히 흔들어 놓았고, 전체 그림이 아닌 눈에 드러난 일부 조각만으로 판단을 내리면 쉽게 실수하는 것을 보여주었다”며, “이처럼 지능적인 위협에 대한 분석과 대책은 국가를 넘어 민간 부문과 정부 간 협력을 기반으로 해야 하며, 카스퍼스키랩에서 공개한 연구 결과를 통해 사고 대책 담당자들과 보안 연구원들이 향후 어떤 단계에서든 유사한 형태의 공격을 빠르게 탐지하고 효과적으로 피해를 줄일 수 있기를 바란다”고 말했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.