Offcanvas

보안 / 분쟁|갈등

“하마스의 온라인 인프라, 이란 정부와 관련된 정황 뚜렷” 레코디드 퓨처

2023.10.24 Jon Gold  |  CSO
하마스가 사용하는 온라인 인프라가 이란 정부와 관련성을 지닌다고 레코디드 퓨처의 인식트 그룹(Insikt Group)이 분석했다. 

이 연구 부문은 하마스가 비공개 메시징 앱인 텔레그램을 통해 유포한 애플리케이션을 분석했다. 그 결과 하마스가 이란과 연결된 사이버 인프라를 이용하고 있으며, 이란 해커 그룹과 연결고리를 가진다는 점을 발견했다.

사이버 보안 회사인 레코디드 퓨처의 인식트 그룹(Insikt Group)의 보고서에 따르면, 연구팀은 하마스의 이스라엘에 대한 유혈 공격이 시작된 지 나흘 후인 10월 11일에 핵심 기능이 알려지지 않은 애플리케이션을 처음 확인했다. 텔레그램 채널에 게시된 이 애플리케이션은 하마스의 군사 조직인 알카삼 여단의 창구 역할을 하는 것으로 알려진 도메인과 통신하도록 설계됐다. 

이 애플리케이션이 사용하는 구체적인 주소는 파나마, 레바논, 우크라이나, 러시아 등 다양했다. 그러나 인식트 그룹 팀은 샌드박스 테스트에서 이 앱이 작동하도록 할 수 없었다. 이로 인해 명령 및 제어 서버가 DoS 공격으로 인해 다운되었다는 가설을 세웠다.

분석 결과 구글 애널리틱스 코드를 공유하는 도메인 클러스터는 하마스 위협 행위자와 연관된 다른 도메인과 연결되어 있었다. 또한 이러한 도메인 중 일부는 TAG-63, 아리드바이퍼(AridViper), APT-C-23 또는 데저트 팰콘(Desert Falcon)으로 알려진 해킹 그룹과 연결돼 있었으며, 현재 하마스와 관련이 있는 것으로 추정됐다.

보고서는 "하마스 애플리케이션과 TAG-63의 수법과 연관된 것으로 의심되는 도메인 클러스터 사이에서 확인된 인프라 중첩에 주목할 만하다"라며 "이 관찰을 설명될 수 있는 가설은 TAG-63이 하마스의 다른 조직과 인프라 자원을 공유한다는 것이다"라고 밝혔다.

보고서에 따르면 TAG-63과 유사한 방식으로 알카삼 여단의 웹사이트에 연결된 또 다른 도메인에는 ‘안내원’ 또는 ‘동지’, ‘감독자’를 뜻하는 페르시아어를 사용하는 하위 도메인을 포함해 이란의 개입을 암시하는 이름 지정 링크가 포함되어 있었다.

보고서의 저자들은 "[알 카삼 여단]과 조직적 또는 이념적 연관을 공유하는 위협 행위자들이 새로 식별된 도메인을 운영했을 가능성이 높다고 평가한다"라며, "보고서를 작성하는 시점에서 이란의 이슬람혁명수비대(IRGC), 특히 쿠드스군은 하마스와 기타 팔레스타인 위협 단체에 사이버 기술 지원을 제공하는 것으로 알려진 유일한 조직이다"라고 기술했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
Sponsored
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.