2019-11-21 01:15 (목)
북한 배후 라자루스 해킹그룹, 인도 코스모스 은행에서 1천350만 달러 훔쳐
상태바
북한 배후 라자루스 해킹그룹, 인도 코스모스 은행에서 1천350만 달러 훔쳐
  • hsk 기자
  • 승인 2018.08.28 22:54
이 기사를 공유합니다

라자루스 그룹, 작년 한 해 동안 은행에 가장 위협적인 해킹그룹 중 하나

attack-3073180_640.jpg
북한과 관련된 해킹 그룹 라자루스가 최근 인도 코스모스 은행의 스위프트, ATM 인프라를 타깃으로 한 사이버 공격을 통해 1천350만 달러를 훔친것으로 드러났다.

코스모스 은행은 112년 역사를 가진 인도 협동 조합 은행이다. 이는 보안업체 시큐로닉스(Securonix)의 연구원들에 따르면, 공격 그룹은 스피어 피싱, 원격 접속, 써드 파티 인터페이스 등을 통해 은행 시스템에 접근했고, 자금을 훔치기 위해 여러 공격 기술을 사용했다고 외신은 전했다. 이 사고는 2018년 8월 10일에서 13일 사이에 발생했다.

라자루스 그룹은 북한 정부의 지원을 받는 것으로 알려져있다. 작년 한 해 동안 은행에 가장 위협적인 존재 중 하나였다. 올해 해커들은 암호 화폐에 많은 흥미를 가지고 있으며 관련 기관 및 조직에 많은 공격을 수행하고 있다. 최근 한 보고서는 대부분의 멀웨어 부류가 북한에서 유래됐고, 코드 재사용을 통해 라자루스와 연결되어 있음을 알 수 있다고 언급했다.

공격자들은 벤더사의 ATM 테스트 소프트웨어를 악용하거나 현재 배포된 ATM 지불 스위치 소프트웨어를 변경해, 악성 ATM/POS 스위치를 설치하고 중앙 스위치와 백엔드/코어 뱅킹 시스템 사이에 연결을 하이재킹했다.

그 다음에는 28개국 450개 복제된 직불 카드를 사용해 인출이 가능하도록 계정 잔액을 조정하고, 악성 스위치를 통해 ATM 인출을 승인 받아 국내외 거래 수만건 1,150만 달러 이상을 빼냈다.

악성 스위치는 거래를 인증하기 위해 위조된 메시지를 보내고 지불 스위치에서 보낸 세부 정보가 코어 뱅킹 시스템에 도달하지 못하게 해, 카드 번호나 카드 상태 PIN 등에 대한 점검이 수행되지 않도록 했다. 2018년 8월 13일, 공격자는 약 2백만 달러를 코스모스 은행의 스위프트 인증 등을 활용해 홍콩 Hang Seng 은행의 ALM 무역 회사에 3개의 국제 송금을 보냈다.

코스모스 은행 공격에서 손상된 ATM/POS 뱅킹 스위치는 본래 ATM/POS 터미널을 지원하는 구성 요소이다. 코어 뱅킹 솔루션이나 다른 핵심 재정 시스템에 대한 인터페이스이자, 지역, 국가 또는 국제 네트워크에 대한 연결이 가능하도록 한다. 해당 시스템의 주요 목적은 트랜잭션 처리 및 라우팅 결정을 수행하는 것이다.

공격자는 기본 CNP(Card-Not-Present, 카드 소유자가 판매자에게 카드 없이 인터넷 혹은 전화를 사용해 수행하는 거래) 대신 은행 인프라에 초점을 맞추어 이 공격을 더 잘 계획하고 조정할 수 있었고, ATM 공격에 대한 은행의 여러 방어를 우회할 수 있었던 것으로 보인다.

시큐로닉스 연구원들은 Window Admin Shares의 Lateral Movement 전략과 사용자 맞춤형 C&C 서버 사용, 윈도우 서비스 사용의 지속성, DLL 인젝션 주입, 사용한 공격 기술 등 정보를 통해 해당 공격의 배후를 라자루스 그룹으로 지목했다.

한편 오는 9월 10일 국내 최고 정보보안 분석가들의 사이버위협 인텔리전스 정보 공유의 장 'K-ISI 2018 대한민국 정보보호 인텔리전스 컨퍼런스'가 한국과학기술회관 국제회의실에서 정부, 공공, 금융, 대기업 보안실무자 등 300명 이상이 참석한 가운데 개최된다. 이 자리에서 '정부지원 추정 해커의 APT 공격 사례 연구' 등 민감한 해킹그룹들의 연구 발표가 있을 예정이다.

-K-ISI 2018 사전등록: http://conf.dailysecu.com/conference/k-isi/2018.html

★정보보안 대표 미디어 데일리시큐!★