2021-08-03 19:45 (화)
이스라엘 보안회사, 기자·정치인 등 타깃 공격용 사이버 무기 개발
상태바
이스라엘 보안회사, 기자·정치인 등 타깃 공격용 사이버 무기 개발
  • 페소아 기자
  • 승인 2021.07.19 15:06
이 기사를 공유합니다

마이크로소프트는 패치 튜스데이를 통해 이스라엘 모 보안회사에 의해 무기화되어 100명 이상의 저널리스트, 활동가, 정치인을 타깃으로한 일련의 '정밀한 공격'에 사용된 두 개의 윈도우 제로데이를 패치했다.

토론토 대학 시티즌 랩에서 발표한 보고서에 따르면, 이 회사는 구글의 위협 분석 그룹(TAG)이 아르메니아에 있는 피해자를 대상으로 크롬 브라우저의 여러 제로 데이 취약점을 악용하는 것으로 밝힌 상업용 감시회사로 공식 식별되었다고 더해커뉴스가 보도했다.

보도 내용에 따르면, 시티즌 랩 연구원들은 이 회사의 명백한 광범위한 글로벌 시민 사회에 대한 감시 기술의 사용은 용병 스파이웨어 산업이 많은 참여자를 포함하고 있으며 광범위한 남용에 취약하다는 것을 강력하게 상기시켜준다. 이번 사례는 국제 보안 조치나 강력한 정부 수출 규제 조치가 없을 경우 스파이웨어 공급업체가 그들의 제품을 일상적으로 서비스를 악용하는 정부 고객에게 판매할 것임을 다시 한번 보여준 것이다."라고 말했다.

2014년에 설립된 이 회사(마이크로소프트의 코드명 SOURGUM)는 정부에 독점적으로 판매하는 아이폰, 안드로이드, 맥, PC 및 클라우드 계정을 포함한 광범위한 플랫폼을 감염 및 모니터링하는 장치인 DevilsTongue 스파이 도구 키트의 개발자로 알려져 있다.

시티즌 랩은 "서유럽에서 정치 활동을 하는 피해자"로부터 하드 드라이브를 얻은 후 이 회사의 윈도우 스파이웨어 복사본을 복구할 수 있었다고 밝혔다. 이 스파이웨어 는 CVE-2021-31979 및 CVE-2021-33771로 추적되며 피해자에게 멀웨어를 설치하는데 활용되었다.

감염체인은 브라우저와 윈도우 익스플로잇의 혼합이며, 전자는 왓츠앱과 같은 메시징 애플리케이션을 대상으로 전송된 일회용 URL을 사용했다. 마이크로소프트는 7월 13일에 공격자가 브라우저 샌드박스를 탈출하고 커널 코드를 실행할 수 있게 하는 권한 상승을 모두 패치했다.

침입은 모듈식 C/C++ 백도어인 DevilsTongue 배포로 절정에 달한다. 이 백도어는 파일 추출, 암호화된 메시징 앱 시그널에 저장된 메시지 내보내기, 크롬, IE, 파이어폭스, 사파리, 오페라 브라우저에서 쿠키 및 비밀번호 도용을 포함한 다양한 기능을 지원한다.

또한 마이크로소프트의 디지털 무기 분석에 따르면, 이 백도어는 로그인한 이메일과 페이스북, 트위터, 지메일, 야후, Mail.ru, Odnoklassniki 및 Vkonakte와 같은 소셜 미디어 계정에서 도난당한 쿠키를 악용하여 정보를 수집하고 피해자의 메시지를 읽고, 사진을 검색하고, 대신 메시지를 보내어 위협 행위자가 감염된 사용자의 컴퓨터에서 직접 악성 링크를 보낼 수 있도록 한다.

이와 별도로 시티즌 랩 보고서는 수요일에 구글이 공개한 두 개의 구글 크롬 취약점인 CVE-2021-21166 및 CVE-2021-30551을 Candiru와 연결하면서 익스플로잇 배포에 사용된 웹사이트가 겹치는 점을 지적했다.

또한 이 회사의 스파이웨어 인프라와 연결된 764개의 도메인이 발견되었으며, 그 중 많은 도메인이 국제 사면 위원회, 블랙 라이브 매터 운동과 같은 옹호 단체로 가장하고 미디어 회사 및 기타 시민 사회 테마 단체로 위장했다. 일부 시스템은 사우디아라비아, 이스라엘, UAE, 헝가리 및 인도네시아에서 운영되었다.

지금까지 SOURGUM 멀웨어 피해자가 100명 이상 확인되었으며 표적들은 팔레스타인, 이스라엘, 이란, 레바논, 예멘, 스페인(카탈로니아), 영국, 터키, 아르메니아 및 싱가포르에 위치해있었다. 마이크로소프트의 디지털 보안 유닛의 총괄 매니저인 크리스틴 굿윈은 "이러한 공격이 주로 소비자 계정을 대상으로 이루어졌으며 이는 SOURGUM의 고객들이 특정 개인을 목표로 하고 있다는 것을 나타낸다."라고 설명했다.

최신 보고서에서 TAG 연구원인 매디 스톤과 클레멘트 레신이 사이버 공격에서 제로데이을 사용하는 공격자가 급증하고 있다는 점을 지적했다. 이는 2010년대 초반보다 제로데이에 대한 액세스 권한을 판매하는 상용 공급업체가 더 많이 생겨났기 때문이다.

MSTIC(마이크로소프트 위협 인텔리전스 센터)는 기술 요약에서 "민간 부문의 공격 행위자는 목표의 컴퓨터, 전화, 네트워크 인프라 및 기타 장치를 해킹하기 위해 서비스형 해킹 패키지로 사이버 무기를 제조 및 판매하는 민간 기업이다. 이러한 해킹 패키지들을 이용해 보통 정부 기관들이 표적을 정해 실제 운영한다. 이러한 회사에서 사용하는 도구, 전술 및 절차는 공격의 복잡성, 규모 및 정교함을 가중시킨다"라고 설명했다.

★정보보안 대표 미디어 데일리시큐!★