보안

"정부 후원의 해커들, 두쿠 2.0으로 카스퍼스키 내부 침입"...카스퍼스키

Steve Ragan | CSO 2015.06.11
카스퍼스키는 지금껏 본적이 없는 두쿠(Duqu)의 개선 버전을 발견했다.

카스퍼스키 랩은 지난 10일 자체 네트워크가 지금까지 본적도 없던 새로운 악성코드에 의해 침입당한 사실을 알렸다. 카스퍼스키는 이전 버전과의 유사성을 파악한 결과, 2011년 최초로 선보인 두쿠의 개선 버전이라고 확신했다.

카스퍼스키 랩의 유진 카스퍼스키는 포브스닷컴에서 "이 공격으로 인해 자신의 기업은 바보가 됐다"며, "이는 진정한 산업 스파이 사례다"고 전했다. 카스퍼스키는 "두쿠 2.0는 지금까지 한번도 등장하지 않았으며, 시대를 앞서가는 악성코드다. 이 악성코드는 탐지를 어렵게 하기 위해 다수의 속임수를 사용해 무력화시켰다"고 설명했다.

두쿠 2.0은 첨단 악성코드를 발견하기 위해 설계된 툴에 의해 탐지됐다. 이 제품은 아직 완전하지 않았지만 이 초기 버전을 통해 무언가 잘못됐음을 알아차릴 수 있었다. 그러나 두쿠를 조종하는 이들이 무엇을 하려 했는지 알아내진 못했다.

카스퍼스키 랩의 글로벌 조사 및 분석 책임자 코스틴 라이우는 공식 성명에서 "고도로 지능적인 이 공격에는 매우 인상적인 3개의 제로데이 익스플로잇을 사용됐다. 이에 대한 공격 비용은 상당히 높을 것이다"고 말했다.

숨은 상태를 유지하기 위해 두쿠 2.0은 커널 메모리 내에 머무른다. 이로 인해 안티 악성코드 솔루션은 두쿠 2.0을 탐지하기가 어렵다.

또한 이 악성코드는 명령을 받기 위한 C&C 서버와 직접적으로 연결하지 않는다. 대신 공격자들은 공격자의 C&C 서버에서 내부 네트워크로의 모든 트래픽을 프록시하는 악의적인 드라이브를 설치함으로써 네트워크 게이트웨이와 방화벽을 감염시킨다.

이 공격자들이 네트워크에 잠입한 방법은 불명확하다. 카스퍼스키가 추정한 바에 따르면, 아태지역 사무실에 종사하는 한 직원을 표적으로 한 피싱 공격에 의한 것이다. 이 주장은 카스퍼스키가 공격자들의 정체가 밝혀졌을 때 이 공격자들은 이 직원의 이메일과 브라우징 이력을 지웠다는 점에서 설득력을 가진다.

카스퍼스키는 최근 이 공격자의 근원을 확인하기 위해 백업 로그와 다른 데이터를 분석하고 있다.

카스퍼스키 네트워크에 머무른 공격자들은 기업 기밀과 코드를 찾으려 했다. 한편 이 공격자들은 아우슈비츠 비르케나우(Auschwitz-Birkenau) 70주년 기념 행사나 이란 핵무기에 대한 회담이 펼쳐진 곳에서 두쿠 2.0을 사용해 여러 고위 현직 간부와 정치인들을 표적으로 사용하고 있었다.

카스퍼스키는 "우리를 공격한 이들은 그리 현명하지 못했다. 그들은 수년동안 개발해 온 매우 값비싼 첨단 기술을 잃었다. 대신 그들은 우리의 기술을 훔치려고 시도했다"고 덧붙였다.

카스퍼스키는 "언급했듯이, 우리의 조사는 여전히 진행중이다. 전체 그림을 상세히 알게 되려면 몇 주일이상 걸릴 것으로 보인다. 그러나 우리는 우리 제품의 소스코드가 손상을 입지 않았다는 것을 이미 확인했다. 이번 공격은 우리의 악성코드 데이터베이스에는 영향을 주지 못했으며, 공격자들은 고객 데이터에도 접근할 수 없었다"고 설명했다.

카스퍼스키는 IOC(Indications of Compromise) 데이터처럼 두쿠 2.0 악성코드 상세 보고서를 발표했다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.