2020-02-21 05:25 (금)
APT 공격 해킹단체 ‘Desert Falcons’ 실체 드러나
상태바
APT 공격 해킹단체 ‘Desert Falcons’ 실체 드러나
  • 길민권
  • 승인 2015.03.06 03:12
이 기사를 공유합니다

3개 해커그룹 최소 30명 해커가 서로 다른 국가에서 공격 감행
최근 카스퍼스키랩은 중동국가의 주요 기관과 개인 대상 해킹그룹 ‘Desert Falcons’(데저트 팰콘)을 발견했다고 전했다. 보안전문가들은 수집한 각종 증거자료를 통해 이 그룹의 주요 목표는 아랍지역 국가들이라고 판단하고 있다.

 
현재 Desert Falcons은 50여 개 이상 국가 3천여 개 목표에 대한 공격을 감행하고 있으며, 100만개 이상의 파일을 절취했다. 비록 Desert Falcons의 주요 공격대상은 이집트, 파키스탄, 이스라엘, 요르단이지만 카타르, 사우디아라비아, 아랍에미리트 연합국, 알제리, 레바논, 노르웨이, 터키, 스웨덴, 프랑스, 미국, 러시아와 중국 및 한국을 포함 한 기타 국가에서도 피해자가 속출하고 있다. 보안전문가는 이 해커그룹이 대규모 사이버 전쟁을 일으킬 능력도 갖추었다고 소개했다.
 
조사에 따르면, Desert Falcons의 공격은 이미 2년간 지속되었다. 2011년 개발 및 계획을 세워, 2013년부터 공격을 감행했으며, 2015년은 공격의 절정이라고 할 수 있다. 공격의 피해자는 군사와 정부기관, 특히 자금 세탁 방지기관, 의료와 경제조직의 직원, 유명언론, 연구와 교육기관 및 자원과 공공사업설비 제공업체, 정치인 등 다양하다.
 
Desert Falcons은 특정 악성프로그램을 사용해 타깃 기관과 단체의 윈도우 PC와 안드로이드 장비를 공격하며 3개 해커그룹의 최소 30명 해커가 서로 다른 국가에서 공격을 감행한다.
 
또한 Desert Falcons은 전자메일, 커뮤니티를 통해 피싱 공격을 감행하며 악성코드를 배포한다. 피싱 정보에 포함된 악성파일 또는 악성 URL은 합법적인 문서나 응용프로그램으로 위장된다. 따라서 각종 수단으로 악성파일 실행을 유도하는데 일반적으로 사용하는 기술은 확장명을 거꾸로 배치하는 방법이다. 다시 말하면 Unicode 중 특수문자를 이용GO 파일이름을 반대로 디스플레이하는 기법이다.
 
이러한 수단을 사용하면 악성파일(.exe와 .scr)이 사용하는 확장명을 감춘 후 정상적인 문서 또는 PDF파일로 위장하는 효과를 볼 수 있다. 심지어 보안지식을 갖춘 전문가들도 악성파일을 실행하는 경우도 존재한다. 왜냐하면 .fdp, .scr로 마무리되는 파일은 .rcs와 .pdf파일로 위장되기 때문이다.
 
감염에 성공하면 Desert Falcons은 자체 개발한 Desert Falcons 트로이목마 또는 DHS 백도어 프로그램 중 하나를 사용한다. 관련 백도어 프로그램은 아직도 개발단계에 있는 것으로 알려졌다.
 
이밖에 전문가들은 이 해커그룹이 공격감행 중 100가지 악성프로그램 샘플을 사용하는 정황을 발견했다. 이러한 악의적인 도구들은 모두 화면 하이재킹, 키로깅, 파일 업로드/다운로드, 피해자 하드 디스크 또는 USB 장비에서 워드와 엑셀 파일 정보 수집, 시스템 레지스트리(Internet Explorer와 live Messenger)에 저장된 패스워드 및 녹음기능 절취 등을 포함한 백도어 기능을 가지고 있다.
 
또한 안드로이드에서 악성프로그램이 실행된 흔적을 발견했다. 공격자는 수신통화와 문자 메시지 로그를 절취하는 안드로이드 목마 프로그램을 사용했다. 이 도구를 통해 Desert Falcons은 적어도 3번 이상의 악의적인 공격을 수행했으며, 서로 다른 국가의 다수 사용자와 그룹이 피해자가 되었다.
 
Desert Falcons의 공격행위에 대해 보안전문가는 “이 해커그룹의 소속 멤버들은 모두 정치적인 입장이 분명하고 훌륭한 해킹기술의 소유자들이다. 또한 피싱 메일, 커뮤니티 엔지니어링, 자체 제작한 도구와 백도어 프로그램만 사용해 수천 개의 중동지역 단체를 감염시켰으며, 시스템 또는 모바일 장비를 이용해 민감한 정보를 절취했다. 만약 충족한 유지비용을 지원한다면 취약점 이용 프로그램 개발도 불가능한 일이 아니다”라고 설명했다.
(뉴스제공: 국내 최대 중국 해킹·보안 정보 서비스 기업 씨엔시큐리티 / www.cnsec.co.kr)
 
★정보보안 대표 미디어 데일리시큐!★
 
데일리시큐 길민권 기자 mkgil@dailysecu.com