2020-10-23 02:55 (금)
이란 배후 추정 해킹그룹, 실수로 사이버공격 작전 관련 40GB 데이터 노출
상태바
이란 배후 추정 해킹그룹, 실수로 사이버공격 작전 관련 40GB 데이터 노출
  • hsk 기자
  • 승인 2020.07.21 17:11
이 기사를 공유합니다

IBM X-Force IRIS 연구원들이 이란 배후 APT35 그룹(일명 ITG18, Charming Kitten, Phosphorous, NewsBeef)이 보유하고 있는 40GB에 달하는 데이터를 확인했다고 시큐리티어페어지가 보도했다.

보도에 따르면, APT35 그룹이 작전과 관련된 40기가 이상 비디오 및 파일들이 있는 한 개 서버를 실수로 노출시킨 것으로 추정되며 해당 서버는 3일간 접근할 수 있는 상태였다.

IBM은 “APT 그룹 ITG18의 기본 구성 오류로 인해 40기가 이상 데이터가 있는 서버가 유출되어 분석했다”고 설명했다. 연구원들은 서버에서 이들이 기록한 약 5시간의 교육 비디오 파일을 여러 개 발견했다.

일부 비디오는 클라우드 저장소 서비스와 관련된 다양한 온라인 계정에서 데이터를 유출하는 방법을 보여준다. 또한 미 해군 구성원과 그리스 해군 장교를 대상으로 성공한 공격을 보여주는 영상도 있다. 해커는 두 타깃 모두에서 많은 양의 정보를 수집한 것으로 보인다.

이란 배후의 챠밍 키튼 그룹(일명 APT35, Phosphorus, Newscaster, Ajax Security Team)은 2014년, 아이사이트 전문가들이 소셜 미디어를 사용해 이란 해커들이 수행한 정교한 인터넷 기반 간첩 캠페인을 설명하는 보고서를 발행했을 때 헤드라인에 보도된 바 있다.

마이크로소프트는 2013년 후로 이 공격자들을 추적해 왔지만, 전문가들은 이들이 2011년부터 활동해왔다고 믿고 있다. 또한 이 그룹은 전 세계의 광범위한 조직 및 정부 기관을 타깃으로 공격하는 것으로 알려져 있다.

유출된 파일 중 일부는 APT35 그룹이 미 국무부의 이란계 미국인 자선가 및 공무원들을 타깃으로 한 공격이 있었음을 보여주었으며, 다행히 작전 수행에는 실패한 것으로 보인다. 또 다른 비디오는 APT35 그룹 해커가 다단계 인증 설정된 사이트에 대해 자격 증명을 확인하지 않았음을 보여준다.

IBM X-Force 전문가들은 +98 국가 코드가 포함된 전화번호를 포함해 공격에 사용된 가짜 인물에 대한 프로파일 세부 정보가 비디오에 표시되어 있는 것을 발견했다고 전했다.

연구원들은 “ITG18 운영자의 실수로 인해 사이버 작전 수행자들을 훈련시키는 방법을 알아낼 수 있었다”며, 이들을 작전 운영에 상당한 투자를 한 위협 그룹으로 간주했다. 또한 “해당 APT 그룹의 정보 및 활동 공개에도 불구하고 이들은 운영을 지속하고 있으며 새로운 인프라에 대한 생성을 이어나가고 있다”고 덧붙였다.

★정보보안 대표 미디어 데일리시큐!★