2016.02.25

카스퍼스키랩, 해커 조직 ‘라자러스 그룹’ 활동 심층 분석

편집부 | ITWorld
카스퍼스키랩은 보안업체인 노베타를 비롯한 다른 파트너와 함께 '오퍼레이션 블록버스터(Operation Blockbuster)' 합동 연구 조사에 참여해 대규모 사이버 공격의 배후를 밝혔다고 발표했다.

이번 연구 조사의 목적은 전 세계 수많은 기업을 대상으로 전통적 사이버 첩보 활동은 물론 컴퓨터 데이터 파괴까지 저지르는 해커 조직인 라자러스 그룹(Lazarus Group)의 활동을 저지하는 것이라고 설명했다.

라자러스 그룹은 2014년 있었던 소니 픽쳐스 엔터테인먼트(이하 SPE) 공격 사건과 대한민국의 미디어 및 금융 조직을 겨냥한 2013년 3.20 공격(이하, 다크서울)의 배후로 지목되는 조직이다.

라자러스 그룹 해킹 조직은 SPE 사건 이전에도 수년간 활동했으며, 여전히 활동을 이어가고 있는 것으로 보인다. 카스퍼스키랩과 오퍼레이션 블록버스터에 소속된 또 다른 업체는 연구를 통해 대한민국에 있는 은행과 방송국을 겨냥한 다크서울 공격, 대한한국 군대를 겨냥한 트로이 공격 및 SPE 공격을 비롯한 여러 공격에 사용된 악성 코드 사이에서 연결점을 발견할 수 있었다.

조사 과정에서 카스퍼스키랩의 연구원들은 예비 조사 결과를 알리엔볼트 랩(AlienVault Labs)와 교환했고 마침내 두 기업의 연구원들은 합동 조사를 수행하기로 결정했다. 같은 시기에 다른 여러 기업 및 보안 전문가들도 라자러스 그룹의 활동을 조사하는 중이었으며, 그 중에서도 노베타는 라자러스 그룹의 활동에 대한 가장 포괄적이며 실행 가능한 전문 자료를 발표하기 위한 프로젝트에 돌입했다.

공격에 사용된 방법을 분석하는 중 여러 샘플이 하나의 그룹으로 연결된다는 사실이 밝혀졌다. 특히, 해커들이 악성코드 개발에 사용된 일부 코드를 다른 악성 코드 개발에서도 재사용한다는 점이 파악됐다.

이에 더해 연구원들은 해커들의 작업 방식 간에도 유사점이 있다는 것을 발견할 수 있었다. 서로 다른 공격에서 수집한 정보를 분석하던 중 연구원들은 드로퍼 악성코드(다른 악성코드를 설치하는 파일)가 암호로 보호된 ZIP 압축 파일에 저장된 사실을 발견했다. 다양한 공격에 사용된 압축 파일의 암호가 서로 같았고, 드로퍼 내에 암호가 저장돼 있었다. 자동화된 분석 시스템이 압축을 풀어 그 기능을 분석하지 못하도록 구현된 이러한 암호 보호 기능이 도리어 분석가들이 배후 범죄 조직의 정체를 밝히는 데 도움이 된 셈이다.

범죄자들이 감염된 시스템에서 그들의 흔적을 지우기 위해 사용한 특수한 방법과 안티 바이러스 제품의 탐지를 피하기 위해 사용한 일부 기법 또한 연구자들이 각 공격의 관련성을 찾는 단서가 됐다. 결과적으로 공격자를 알 수 없었던 수십 건의 공격이 단일 해커 조직의 소행인 것이 밝혀졌다.

샘플의 제작 날짜를 분석한 결과 오래된 공격은 2009년까지 거슬러 올라갔다. 소니를 대상으로 한 악명 높은 공격이 있던 해보다 7년이나 앞선 것이다. 새로운 악성 샘플의 수는 2010년 이후로 급격히 증가했다. 이것은 라자러스 그룹이 안정적이고 오래 유지되고 있는 해커 조직임을 뜻한다.

분석에 따르면, 라자러스 그룹이 사용한 대부분의 악성코드는 대한민국 표준 시간대(GMT+8 –GMT+9 사이)에 제작된 것으로 나타났다.

카스퍼스키랩의 주안 규레로 수석 보안 연구원은 “예상한대로 와이퍼(컴퓨터 데이터 파괴 악성 코드) 공격의 수가 점점 늘고 있다”며, “버튼 하나로 수천 대의 컴퓨터를 지우는 힘은 대상 기관의 정보를 교란하고 혼란을 주려는 불법 공격 팀에 가공할 만한 무기가 된다”고 말했다.

카스퍼스키랩코리아의 이창훈 지사장(www.kaspersky.co.kr)은 “이 공격자는 충분한 기술을 갖추고 있을 뿐 아니라 데이터를 훔치거나 피해를 입히기 위해 사이버 공격을 감행하고자 하는 의지도 강력하다”며, “오퍼레이션 블록버스터는 보안 업계 전체가 정보를 공유하고 서로 협력하는 태세를 갖춤으로써 방어 체계를 더욱 공고히 하고 해커들의 지속적인 공격을 저지할 수 있다는 좋은 본보기가 될 것”이라고 말했다. editor@itworld.co.kr


2016.02.25

카스퍼스키랩, 해커 조직 ‘라자러스 그룹’ 활동 심층 분석

편집부 | ITWorld
카스퍼스키랩은 보안업체인 노베타를 비롯한 다른 파트너와 함께 '오퍼레이션 블록버스터(Operation Blockbuster)' 합동 연구 조사에 참여해 대규모 사이버 공격의 배후를 밝혔다고 발표했다.

이번 연구 조사의 목적은 전 세계 수많은 기업을 대상으로 전통적 사이버 첩보 활동은 물론 컴퓨터 데이터 파괴까지 저지르는 해커 조직인 라자러스 그룹(Lazarus Group)의 활동을 저지하는 것이라고 설명했다.

라자러스 그룹은 2014년 있었던 소니 픽쳐스 엔터테인먼트(이하 SPE) 공격 사건과 대한민국의 미디어 및 금융 조직을 겨냥한 2013년 3.20 공격(이하, 다크서울)의 배후로 지목되는 조직이다.

라자러스 그룹 해킹 조직은 SPE 사건 이전에도 수년간 활동했으며, 여전히 활동을 이어가고 있는 것으로 보인다. 카스퍼스키랩과 오퍼레이션 블록버스터에 소속된 또 다른 업체는 연구를 통해 대한민국에 있는 은행과 방송국을 겨냥한 다크서울 공격, 대한한국 군대를 겨냥한 트로이 공격 및 SPE 공격을 비롯한 여러 공격에 사용된 악성 코드 사이에서 연결점을 발견할 수 있었다.

조사 과정에서 카스퍼스키랩의 연구원들은 예비 조사 결과를 알리엔볼트 랩(AlienVault Labs)와 교환했고 마침내 두 기업의 연구원들은 합동 조사를 수행하기로 결정했다. 같은 시기에 다른 여러 기업 및 보안 전문가들도 라자러스 그룹의 활동을 조사하는 중이었으며, 그 중에서도 노베타는 라자러스 그룹의 활동에 대한 가장 포괄적이며 실행 가능한 전문 자료를 발표하기 위한 프로젝트에 돌입했다.

공격에 사용된 방법을 분석하는 중 여러 샘플이 하나의 그룹으로 연결된다는 사실이 밝혀졌다. 특히, 해커들이 악성코드 개발에 사용된 일부 코드를 다른 악성 코드 개발에서도 재사용한다는 점이 파악됐다.

이에 더해 연구원들은 해커들의 작업 방식 간에도 유사점이 있다는 것을 발견할 수 있었다. 서로 다른 공격에서 수집한 정보를 분석하던 중 연구원들은 드로퍼 악성코드(다른 악성코드를 설치하는 파일)가 암호로 보호된 ZIP 압축 파일에 저장된 사실을 발견했다. 다양한 공격에 사용된 압축 파일의 암호가 서로 같았고, 드로퍼 내에 암호가 저장돼 있었다. 자동화된 분석 시스템이 압축을 풀어 그 기능을 분석하지 못하도록 구현된 이러한 암호 보호 기능이 도리어 분석가들이 배후 범죄 조직의 정체를 밝히는 데 도움이 된 셈이다.

범죄자들이 감염된 시스템에서 그들의 흔적을 지우기 위해 사용한 특수한 방법과 안티 바이러스 제품의 탐지를 피하기 위해 사용한 일부 기법 또한 연구자들이 각 공격의 관련성을 찾는 단서가 됐다. 결과적으로 공격자를 알 수 없었던 수십 건의 공격이 단일 해커 조직의 소행인 것이 밝혀졌다.

샘플의 제작 날짜를 분석한 결과 오래된 공격은 2009년까지 거슬러 올라갔다. 소니를 대상으로 한 악명 높은 공격이 있던 해보다 7년이나 앞선 것이다. 새로운 악성 샘플의 수는 2010년 이후로 급격히 증가했다. 이것은 라자러스 그룹이 안정적이고 오래 유지되고 있는 해커 조직임을 뜻한다.

분석에 따르면, 라자러스 그룹이 사용한 대부분의 악성코드는 대한민국 표준 시간대(GMT+8 –GMT+9 사이)에 제작된 것으로 나타났다.

카스퍼스키랩의 주안 규레로 수석 보안 연구원은 “예상한대로 와이퍼(컴퓨터 데이터 파괴 악성 코드) 공격의 수가 점점 늘고 있다”며, “버튼 하나로 수천 대의 컴퓨터를 지우는 힘은 대상 기관의 정보를 교란하고 혼란을 주려는 불법 공격 팀에 가공할 만한 무기가 된다”고 말했다.

카스퍼스키랩코리아의 이창훈 지사장(www.kaspersky.co.kr)은 “이 공격자는 충분한 기술을 갖추고 있을 뿐 아니라 데이터를 훔치거나 피해를 입히기 위해 사이버 공격을 감행하고자 하는 의지도 강력하다”며, “오퍼레이션 블록버스터는 보안 업계 전체가 정보를 공유하고 서로 협력하는 태세를 갖춤으로써 방어 체계를 더욱 공고히 하고 해커들의 지속적인 공격을 저지할 수 있다는 좋은 본보기가 될 것”이라고 말했다. editor@itworld.co.kr


X