2020-11-30 20:35 (월)
한국이 러시아에 APT 공격을 했다…?
상태바
한국이 러시아에 APT 공격을 했다…?
  • 길민권
  • 승인 2012.12.20 23:54
이 기사를 공유합니다

파이어아이, “러시아 교육, 전신, 군인, IT, 항공 및 우주 산업 기관 타깃”
최근 보안회사 FireEye(파이어아이)에서는 악성 소프트웨어 'Sanny'를 이용한 전형적인 ART 공격의 사이버 스파이 활동을 발견했다고 밝혔다.  
 
파이어아이에서 상세한 정보는 공개하지 않았지만, 해당 스파이 활동의 80%는 러시아 교육, 전신, 군인, IT, 항공 및 우주 산업 등의 기관을 노린 것이라고 밝혔다.
 
파이어아이 연구원은 공격의 발원지가 한국으로 추정되는 많은 정보가 있지만 아직 확실한 증거는 없다고 했다.
 
지금까지 밝혀진 내용은 아래와 같다.
1. SMTP mail서버와 CnC서버가 한국에 있다.
2. 발견된 일부 파일 중의 글자체가 'Batang'과 'KP CheongPong'이다.
3. 공격자는 한국의 게시판 호스팅 nboard.net를 이용하여 C&C 제어 명령을 발송했다.
4. 발송한 메일의 jbaksanny를 통하여, Jbaksan 사용자가 만든 kr의 wiki(한국어 위키백과) 웹 페이지를 검색했다.  
 
파이어아이에서는 해당 인터넷 스파이 활동이 국가 레벨의 사이버 공격으로 추정되며, 공격자는 해당 악성 소프트웨어를 통해 감염된 컴퓨터의 outlook 데이터, firefox, hotmail, facebook 등의 사용자 계정과 비밀번호를 획득할 수 있다고 했다. 절취된 데이터는 인코딩을 거친 후 CnC서버에 전송하며, 이삼일에 한번씩 삭제된다.
 
이 보도가 외신을 통해 나가기 직전까지 C&C서버는 실행되고 있었으며, FireEye에서는 아직 조사를 진행하고 있는 중이라고 한다.
 
[정보제공. 씨엔시큐리티 / www.cnsec.co.kr]