2019.01.30

파이어아이, 개인 정보 노리는 이란의 사이버 첩보 조직 ‘APT39’ 자료 공개

편집부 |
파이어아이(www.fireeye.com)는 지난 2018년 12월 APT39가 광범위한 개인정보 유출의 주범인 이란계 사이버 첩보 조직임을 확인했으며, APT39의 활동으로부터 조직들을 보호하기 위해 2014년 11월부터 지금까지 이 조직과 관련된 활동을 추적하고 있다고 밝혔다. 

APT39는 광범위한 개인정보 도난에 중점을 두고 있어, 영향 공작(influence operations), 와해성 공격(disruptive attack) 및 기타 위협과 연관되어 파이어아이가 추적해온 여타 이란계 조직들과 구별된다고 업체 측은 설명했다. APT39는 이란의 국가적 우선순위와 관련된 모니터링, 추적 또는 감시 작전에 도움을 주거나 미래의 공격활동을 용이하게 하기 위한 추가적인 액세스 및 요소(vector)의 개발 가능성을 도모하기 위해 개인정보에 초점을 두는 것으로 보인다.

APT39는 특정 공격주체가 사용한 여러 활동과 방법들을 총괄하기 위해 만든 이름으로, 이 조직의 활동은 대중에게 ‘샤퍼(Chafer)’라고 알려진 단체의 활동과 대체로 연관이 있다. 그러나 각 단체 활동에 대한 추적 현황의 편차 때문에 공개적으로 알려진 내용에서 차이점이 나타난다. APT39는 주로 시위드(SEAWEED) 및 캐시머니(CACHEMONEY) 백도어와 ‘POWBAT’ 백도어의 특정 변종을 활용한다. APT39의 타깃 범위는 전 세계이나 활동은 중동에 집중되어 있다. APT39는 통신분야에 우선순위를 두며 이를 지원하는 IT 기업, 첨단기술 업계와 여행업계도 표적으로 하고 있다.

APT39가 통신 및 여행업계에 중점을 두고 있다는 사실을 토대로 이 조직이 특정 개인들에 대한 모니터링, 추적, 감시가 목적이라고 추정할 수 있다고 파이어아이는 밝혔다. 이들은 또한 국가 우선 순위 관련 전략 요건에 사용될 만한 상업, 작전 상의 목적을 위한 독점적인 데이터, 고객 개인정보를 수집하고, 또는 미래의 공격을 위한 추가적인 액세스 및 요소를 개발하려는 의도를 갖고 있음을 시사한다고 덧붙였다. 

정부 기관을 대상으로 삼고 있다는 점은 민족국가(nation-state)의 의사결정을 위한 지정학적인 데이터 수집을 이차적인 목표로 삼을 가능성을 암시한다. 이들이 목표로 하는 데이터는 APT39의 핵심 임무가 관심 대상의 추적 또는 감시, 여행 일정 등의 개인정보 수집, 통신업체로부터의 고객 데이터 수집이라는 확신을 뒷받침하고 있다.

파이어아이는 APT39의 공작들이 이란의 국익을 지원하기 위해 수행되고 있다고 어느 정도 확신하고 있으며, 이는 중동에 집중된 지역편중, 그리고 공개적으로 ‘오일리그(OilRig)’라고 보도된 세력과 대략적으로 공조를 이루는 APT34과 유사한 인프라, 활동 시기, 기타 유사점들을 근거로 한다.

APT39와 APT34는 악성코드 배포 방식, POWBAT 백도어 활용, 인프라 명명법, 타깃 중복 등 일부 유사점을 보이지만 파이어아이는 APT39이 APT34와 다른 POWBAT 변종을 이용한다는 점에서 둘을 별개의 조직으로 파악하고 있다. 이 두 조직이 협력관계에 있거나 어느 단계에서 자원을 공유할 가능성은 있다.

APT39가 네트워크 보안업체들의 탐지를 우외하기 위해 운영 보안(operational security)을 이용하고 있다는 징후가 일부 나타나고 있다. 예를 들면 바이러스 탐지 기능을 막기위해 업데이트된 미미카츠의 수정 버전을 이용한 사례, 초기 액세스 후 탐지를 피하기 위해 APT39가 침해된 타깃의 환경 외부에서 계정 추출(credential harvesting)을 한 사례가 발견되었다.

파이어아이는 APT39의 표적이 통신 및 여행업계에 편중된 것이 미래의 공격을 원활히 하기 위한 감시 목적으로 관심 타깃에 대한 개인정보와 고객 데이터 수집하려는 의도를 반영한다고 보고 있다. 통신업체들은 대량의 개인 및 고객 정보를 보관하고, 통신에 이용되는 주요 인프라 접근이 용이하며, 다수의 업계에서 폭넓은 잠재적인 타깃에 대한 접근이 가능하기 때문에 주목받는 타깃이 된다. 

APT39의 타깃 선정은 알려진 표적 업계들에 대한 위협을 의미할 뿐만 아니라, 해당 조직의 모든 고객들로까지 확대되며 여기에는 전 세계에 걸친 수많은 업계와 개인이 포함된다. APT39의 활동은 이란의 대외 공작의 잠재적인 범위를 시사하며, 이란이 국가안보의 위협으로 인식되는 대상에 대한 원활한 핵심 정보 수집과 지역 및 세계 경쟁자에 대한 우위를 얻기 위한 저비용의 효과적 수단으로써 사이버 공작을 어떻게 활용하는지 보여준다. editor@itworld.co.kr


2019.01.30

파이어아이, 개인 정보 노리는 이란의 사이버 첩보 조직 ‘APT39’ 자료 공개

편집부 |
파이어아이(www.fireeye.com)는 지난 2018년 12월 APT39가 광범위한 개인정보 유출의 주범인 이란계 사이버 첩보 조직임을 확인했으며, APT39의 활동으로부터 조직들을 보호하기 위해 2014년 11월부터 지금까지 이 조직과 관련된 활동을 추적하고 있다고 밝혔다. 

APT39는 광범위한 개인정보 도난에 중점을 두고 있어, 영향 공작(influence operations), 와해성 공격(disruptive attack) 및 기타 위협과 연관되어 파이어아이가 추적해온 여타 이란계 조직들과 구별된다고 업체 측은 설명했다. APT39는 이란의 국가적 우선순위와 관련된 모니터링, 추적 또는 감시 작전에 도움을 주거나 미래의 공격활동을 용이하게 하기 위한 추가적인 액세스 및 요소(vector)의 개발 가능성을 도모하기 위해 개인정보에 초점을 두는 것으로 보인다.

APT39는 특정 공격주체가 사용한 여러 활동과 방법들을 총괄하기 위해 만든 이름으로, 이 조직의 활동은 대중에게 ‘샤퍼(Chafer)’라고 알려진 단체의 활동과 대체로 연관이 있다. 그러나 각 단체 활동에 대한 추적 현황의 편차 때문에 공개적으로 알려진 내용에서 차이점이 나타난다. APT39는 주로 시위드(SEAWEED) 및 캐시머니(CACHEMONEY) 백도어와 ‘POWBAT’ 백도어의 특정 변종을 활용한다. APT39의 타깃 범위는 전 세계이나 활동은 중동에 집중되어 있다. APT39는 통신분야에 우선순위를 두며 이를 지원하는 IT 기업, 첨단기술 업계와 여행업계도 표적으로 하고 있다.

APT39가 통신 및 여행업계에 중점을 두고 있다는 사실을 토대로 이 조직이 특정 개인들에 대한 모니터링, 추적, 감시가 목적이라고 추정할 수 있다고 파이어아이는 밝혔다. 이들은 또한 국가 우선 순위 관련 전략 요건에 사용될 만한 상업, 작전 상의 목적을 위한 독점적인 데이터, 고객 개인정보를 수집하고, 또는 미래의 공격을 위한 추가적인 액세스 및 요소를 개발하려는 의도를 갖고 있음을 시사한다고 덧붙였다. 

정부 기관을 대상으로 삼고 있다는 점은 민족국가(nation-state)의 의사결정을 위한 지정학적인 데이터 수집을 이차적인 목표로 삼을 가능성을 암시한다. 이들이 목표로 하는 데이터는 APT39의 핵심 임무가 관심 대상의 추적 또는 감시, 여행 일정 등의 개인정보 수집, 통신업체로부터의 고객 데이터 수집이라는 확신을 뒷받침하고 있다.

파이어아이는 APT39의 공작들이 이란의 국익을 지원하기 위해 수행되고 있다고 어느 정도 확신하고 있으며, 이는 중동에 집중된 지역편중, 그리고 공개적으로 ‘오일리그(OilRig)’라고 보도된 세력과 대략적으로 공조를 이루는 APT34과 유사한 인프라, 활동 시기, 기타 유사점들을 근거로 한다.

APT39와 APT34는 악성코드 배포 방식, POWBAT 백도어 활용, 인프라 명명법, 타깃 중복 등 일부 유사점을 보이지만 파이어아이는 APT39이 APT34와 다른 POWBAT 변종을 이용한다는 점에서 둘을 별개의 조직으로 파악하고 있다. 이 두 조직이 협력관계에 있거나 어느 단계에서 자원을 공유할 가능성은 있다.

APT39가 네트워크 보안업체들의 탐지를 우외하기 위해 운영 보안(operational security)을 이용하고 있다는 징후가 일부 나타나고 있다. 예를 들면 바이러스 탐지 기능을 막기위해 업데이트된 미미카츠의 수정 버전을 이용한 사례, 초기 액세스 후 탐지를 피하기 위해 APT39가 침해된 타깃의 환경 외부에서 계정 추출(credential harvesting)을 한 사례가 발견되었다.

파이어아이는 APT39의 표적이 통신 및 여행업계에 편중된 것이 미래의 공격을 원활히 하기 위한 감시 목적으로 관심 타깃에 대한 개인정보와 고객 데이터 수집하려는 의도를 반영한다고 보고 있다. 통신업체들은 대량의 개인 및 고객 정보를 보관하고, 통신에 이용되는 주요 인프라 접근이 용이하며, 다수의 업계에서 폭넓은 잠재적인 타깃에 대한 접근이 가능하기 때문에 주목받는 타깃이 된다. 

APT39의 타깃 선정은 알려진 표적 업계들에 대한 위협을 의미할 뿐만 아니라, 해당 조직의 모든 고객들로까지 확대되며 여기에는 전 세계에 걸친 수많은 업계와 개인이 포함된다. APT39의 활동은 이란의 대외 공작의 잠재적인 범위를 시사하며, 이란이 국가안보의 위협으로 인식되는 대상에 대한 원활한 핵심 정보 수집과 지역 및 세계 경쟁자에 대한 우위를 얻기 위한 저비용의 효과적 수단으로써 사이버 공작을 어떻게 활용하는지 보여준다. editor@itworld.co.kr


X