2017.02.21

"러시아어는 미끼” 은행 공격한 해커, 라자러스 연관성 높아

Lucian Constantin | IDG News Service
최근 전 세계 금융기관을 대상으로 한 정교한 해킹 공격에서 해커가 조사기관들을 떼어내기 위해 자신들이 사용한 악성코드에 고의로 러시아어를 삽입한 것으로 드러났다.

사이버 보안 업체 BEA 시스템의 연구원들은 최근 31개국 104곳의 금융기관을 공격한 악성코드의 추가 샘플을 확보해 분석했는데, 악성코드 내의 명령어 여럿이 온라인 툴을 이용해 러시아어로 번역한 것으로 나타났다. 러시아 원어민이 사용하지 않은 말이었다.

BAE 연구원들은 블로그 포스트를 통해 “어떤 경우는 부정확한 번역으로 단어의 의미가 완전히 바뀌어 버리기도 했다. 이는 이번 공격의 작성자가 러시아어 원어민이 아니며, 러시아 단어를 사용한 것은 가짜 표지인 것으로 보인다”라고 설명했다.

이런 비상식적인 행위는 조사기관을 잘못된 정보로 유인하기 위한 것일 가능성이 크다. 실제로 이 악성코드 샘플과 공격 전체가 라자러스(Lazarus)의 소행이라고 볼 수 있는 기술적인 증거들이 있다.

라자러스는 2009년부터 활동을 시작한 사이버 범죄 단체로, 한국과 미국의 여러 정부 기관과 민간 기업에 대한 다양한 공격을 일으켰다. 또 2014년 소니 픽처스 공격의 주범으로 알려져 있다. FBI와 미국 정보기관은 소니에 대한 공격은 북한에 의한 것으로 보고 있다.

라자러스는 또 지난해 방글라데시 중앙은행의 8,100만 달러 절취와도 연관되어 있는데, 이 공격에서 해커는 은행이 SWIFT 네트워크를 통해 송금하는 데 사용하는 컴퓨터를 조작하는 악성코드를 사용했다. 당시 해커는 총 9억 5,100만 달러를 이체하려 했지만, 트랜잭션은 실패했고 송금했던 금액도 해킹이 발견된 이후 원래대로 복구되었다.

이달 초에는 폴란드의 여러 은행이 공격을 당해 주목을 받았는데, 이 공격은 폴란드 금융감독기관의 감염된 웹 사이트가 관련된 것으로 알려졌다.

BAE와 시만텍의 연구원들은 폴란드 은행에 대한 공격이 지난 10월부터 진행된 좀 더 큰 규모의 해킹 작전과 연결된 것으로 보고 있다. 멕시코 중앙은행과 증권위원회의 웹 사이트, 우루과이 최대 국영 은행 역시 비슷한 방법으로 감염됐다.

이들 공격에 사용된 악성코드는 그 동안 라자러스 그룹이 일으킨 공격에 사용된 툴과 유사성이 있는 코드가 포함되어 있다.

금융기관 공격에 특화된 러시아 사이버 범죄단은 여럿인데, 이들은 은행 네트워크 내에 근거지를 확보하기 위해 스피어 피싱 기법을 사용하고, 이후 돈을 훔쳐내기 전에 조직 내부의 업무 과정을 학습한다. BAE 연구구원들은 라자러스가 이들 러시아 사이버 범죄단의 방식을 적극적으로 혼합하려는 것일 수 있다고 분석했다.  editor@itworld.co.kr


2017.02.21

"러시아어는 미끼” 은행 공격한 해커, 라자러스 연관성 높아

Lucian Constantin | IDG News Service
최근 전 세계 금융기관을 대상으로 한 정교한 해킹 공격에서 해커가 조사기관들을 떼어내기 위해 자신들이 사용한 악성코드에 고의로 러시아어를 삽입한 것으로 드러났다.

사이버 보안 업체 BEA 시스템의 연구원들은 최근 31개국 104곳의 금융기관을 공격한 악성코드의 추가 샘플을 확보해 분석했는데, 악성코드 내의 명령어 여럿이 온라인 툴을 이용해 러시아어로 번역한 것으로 나타났다. 러시아 원어민이 사용하지 않은 말이었다.

BAE 연구원들은 블로그 포스트를 통해 “어떤 경우는 부정확한 번역으로 단어의 의미가 완전히 바뀌어 버리기도 했다. 이는 이번 공격의 작성자가 러시아어 원어민이 아니며, 러시아 단어를 사용한 것은 가짜 표지인 것으로 보인다”라고 설명했다.

이런 비상식적인 행위는 조사기관을 잘못된 정보로 유인하기 위한 것일 가능성이 크다. 실제로 이 악성코드 샘플과 공격 전체가 라자러스(Lazarus)의 소행이라고 볼 수 있는 기술적인 증거들이 있다.

라자러스는 2009년부터 활동을 시작한 사이버 범죄 단체로, 한국과 미국의 여러 정부 기관과 민간 기업에 대한 다양한 공격을 일으켰다. 또 2014년 소니 픽처스 공격의 주범으로 알려져 있다. FBI와 미국 정보기관은 소니에 대한 공격은 북한에 의한 것으로 보고 있다.

라자러스는 또 지난해 방글라데시 중앙은행의 8,100만 달러 절취와도 연관되어 있는데, 이 공격에서 해커는 은행이 SWIFT 네트워크를 통해 송금하는 데 사용하는 컴퓨터를 조작하는 악성코드를 사용했다. 당시 해커는 총 9억 5,100만 달러를 이체하려 했지만, 트랜잭션은 실패했고 송금했던 금액도 해킹이 발견된 이후 원래대로 복구되었다.

이달 초에는 폴란드의 여러 은행이 공격을 당해 주목을 받았는데, 이 공격은 폴란드 금융감독기관의 감염된 웹 사이트가 관련된 것으로 알려졌다.

BAE와 시만텍의 연구원들은 폴란드 은행에 대한 공격이 지난 10월부터 진행된 좀 더 큰 규모의 해킹 작전과 연결된 것으로 보고 있다. 멕시코 중앙은행과 증권위원회의 웹 사이트, 우루과이 최대 국영 은행 역시 비슷한 방법으로 감염됐다.

이들 공격에 사용된 악성코드는 그 동안 라자러스 그룹이 일으킨 공격에 사용된 툴과 유사성이 있는 코드가 포함되어 있다.

금융기관 공격에 특화된 러시아 사이버 범죄단은 여럿인데, 이들은 은행 네트워크 내에 근거지를 확보하기 위해 스피어 피싱 기법을 사용하고, 이후 돈을 훔쳐내기 전에 조직 내부의 업무 과정을 학습한다. BAE 연구구원들은 라자러스가 이들 러시아 사이버 범죄단의 방식을 적극적으로 혼합하려는 것일 수 있다고 분석했다.  editor@itworld.co.kr


X