2024-03-29 00:25 (금)
쉐도우 브로커가 NSA 툴 유출하기 전, 중국 해커는 이미 사용
상태바
쉐도우 브로커가 NSA 툴 유출하기 전, 중국 해커는 이미 사용
  • 페소아 기자
  • 승인 2019.05.10 02:36
이 기사를 공유합니다

hacker-1446193_640.jpg
시만텍은 쉐도우 브로커(Shadow Brokers)가 온라인 상에 NSA 멀웨어를 유출하기 1년 전에 중국의 사이버 스파이 그룹이 해당 멀웨어를 사용했다고 밝혔다.

벅아이(Buckeye), APT3, 고딕 판다(Gothic Panda), TG-011 및 UPS와 같은 이름으로 명명되고 있는 중국 해커 그룹은 미 당국이 2017년말 세명의 해커에게 책임을 부과한 후 더 악명이 높아졌다.

미국 정부는 무디스 애널리틱스, 지멘스, 트림블과 같은 서구 기업들을 해킹한 중국 보안부의 전면에서 활동하고 있는 보안 회사인 Boyusec의 배후에 이 3명이 있다고 주장했다. 이 그룹은 자체 커스텀 툴과 제로데이를 갖고 있으며 중국 기반 및 정부 지원 APT 중에서도 뛰어난 것으로 생각되고 있다.

◇Buckeye 그룹, 2016년부터 DOUBLEPULSAR 백도어 사용

6일 발표된 보고서에서 시만텍은 해당 그룹이 NSA 개발 멀웨어가 널리 알려져 사용되기 한참 전부터 사용해왔음을 발견했다고 밝혔다.

시만텍이 발표한 그래프에 따르면 벅아이 그룹은 2016년 3월부터 더블펄사(DoublePulsar) 백도어를 사용했고, 쉐도우 브로커가 NSA 해킹툴의 대규모 캐시의 일부르 이것을 유출한 2017년 4월까지 13개월 이상 사용해왔다.

시만텍은 이 그룹이 더블펄사 백도어를 감염된 호스트에 배포하는데 사용되는 일반적인 도구인 FuzzBunch 프레임워크 같은 다른 NSA 관련 멀웨어는 사용하지 않은 것으로 보인다고 전했다. 대신 그들은 Bemstour라는 자체 도구를 사용했다.

또한 시만텍 연구원은 벅아이가 사용한 더블펄사 버전이 쉐도우 브로커가 유출한 버전과 다르다는 것을 밝혔다.

시만텍은 "새 버전 윈도우 (윈도우 8.1 및 윈도우 서버 2012 R2)를 대상으로 하는 코드가 포함되어 있었으며 이것은 이 멀웨어가 더 최신 버전임을 나타낸다. 또한 난독화 계층이 추가로 포함되어 있다"라고 설명했다.

◇Buckeye 그룹, 멀웨어를 공격활동에 사용

중국 해커들이 더블펄사의 악성코드의 모든 기능을 이해하지 못한 것으로 분석되었다. 벅아이 그룹이 더블펄사가 보유한 고급 스텔스 기능을 사용하지 않고 새로운 사용자 계정을 생성하기 위해 일반적인 셸 명령을 실행하기 위해 사용했을뿐 해커가 가질 수 있는 더 많은 기능들이 숨겨져 있는 상태로 남겨져 있었다.

이들은 더블펄사를 단지 몇가지 공격에서 사용했는데, 이는 자신의 도구 뿐만 아니라 이 도구를 신뢰하지 않았음을 나타낸다. 시만텍은 이 버전의 더블펄사가 벨기에, 룩셈부르크, 베트남, 홍콩, 필리핀의 조직에 대한 공격에서 정보 유출을 위해 사용된 것으로 보고했다.

벅아이 그룹은 2017년 중반 이터널블루(EternalBlue)같은 NSA의 다른 툴들이 유출되어 워너크라이(WannaCry) 및 낫페트야(NotPetya)와 같은 세계적 사이버 사건에 사용되어 국제적으로 널리 알려지면서 더블펄사 사용을 중단했다. 이는 이 시점에 대부분의 사이버 보안 업체들이 더블펄사를 탐지할 수 있었기 때문에 비효율적이라고 판단했기 때문으로 추측된다.

◇어떻게 중국인이 NSA툴에 접근했을까

가장 큰 미스테리는 중국 해커 그룹이 NSA의 도구에 접근했다는 것이다. 시만텍과 대다수의 인포섹 커뮤니티는 벅아이 그룹이 NSA가 중국 시스템에 배포한 백도어를 발견해 이를 다시 공격 목적으로 사용했다고 생각하고 있다.

이 가정을 받아들이면 1년 후 쉐도우 브로커가 유출한 더블펄사의 버전과 이 그룹이 사용한 버전이 다르다는 것도 설명할 수 있다.

[의료기관 정보보안 컨퍼런스 안내]
국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스 MPIS 2019
-MPIS 2019 사전등록:
http://conf.dailysecu.com/conference/mpis/2019.html
-참가문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★