보안

엘리트 해커 집단 엘더우드, 다수의 취약점 확보 ... 시만텍 주장

Gregg Keizer | Computerworld 2012.09.11
시만텍은 7일 미국 방위산업의 하도급 업체를 공격한 한 앨리트 해커단체가 많은 취약점을 확보한 것으로 추정된다고 발표했다. 
 
이들 취약점은 아직 공개되지 않아 패치 또한 제대로 이뤄지지 않은 것들이다. 시만텍은 블로그를 통해 "이 해커 단체는 무제한에 가까운 많은 제로데이 취약점을 확보하고 있는 것으로 분석된다"고 밝혔다.
 
또한 시만텍은 이 해커 집단에 대해 분석한 정보를 공개했다. 해커들이 사용한 소스코드 변종을 분석한 결과, '엘더우드 프로젝트(Elderwood Project)'라고 이름 붙여진 해킹 공격의 배후가 이들인 것으로 의심된다고 설명했다.
 
시만텍 보안 대응 부문의 올라 콕스 수석 매니저는 "이 해킹 단체의 특징을 분석해보니 2010년 말 이후 최소 8차례 이상 제로데이 취약점을 이용한 공격을 했다"고 밝혔다. 또한 올해 봄과 여름 동안에도 4번의 공격이 있었다고.
 
콕스는 7일 인터뷰에서 "이렇게 많은 취약점을 이용한 해커 단체들을 접해본 적이 없다. 특히 스턱스넷이 당시 4개의 취약점을 이용한 데에도 크게 놀랐었는데, 이 단체는 최소 8개의 제로데이를 발견한 것으로 보인다. 더 나아가 이들은 아주 준비가 잘된 해커들이다. 새로운 취약점을 발견한 즉시 공격을 할 준비를 마친다. 이렇듯 취약점을 이용하는 속도 또한 유례가 없다"고 설명했다.
 
스턱스넷은 처음 발견된 2010년 4개의 윈도우 제로데이 취약성을 이용해 목표를 공격한 것으로 분석됐다. 그 대상은 알려진대로 이란의 원자력 농축 시설이었다. 콕스는 시만텍은 이들 해커들이 다른 누군가에게 취약점을 구입한 것이 아니라 스스로 발견한 것으로 판단했다.
 
엘더우드는 2010년 12월과 2011년, 그리고 올해 4월 24일부터 8월15일까지 각각 1개와 3개, 4개의 제로데이 취약점을 이용했다.
 
특히 2010년 12월 취약점을 이용한 공격은 눈여겨 볼 필요가 있다. 많은 보안 전문가들이 '오로라'라고 부르는 트로이 목마와 '하이드라크(hydraq)'를 이용했다. 구글 등 여러 서구 기업들을 대상으로 한 오로라는 인터넷 익스플로러의 취약점을 이용해 전달됐다. 구글은 중국 해커들이 오로라를 이용해 네트워크에 침입했다고 발표하고, 이를 이유로 구글의 중국내 운영을 중단하겠다고까지 위협을 한 바 있다.
 
시만텍은 2009년 말과 2010년 초의 오로라, 하이드라크를 이용한 공격과 지난 20개월 동안 8차례의 제로데이 공격 사이에도 연결고리를 발견했다고 밝혔다. 시만텍은 근간이 되는 C&C(Command & Control) 기반, 트로이의 목마가 코드를 기만한 방식, 맞춤형 몰웨어 개발 플랫폼을 명백히 공유한 증거 등을 비교 분석해 여러 공격의 연결고리를 찾았다.
 
엘더우드 공격의 대상 또한 8건의 제로데이 공격이 연결되어 있다는 증거를 제시하고 있다. 엘더우드는 방위 산업의 하도급 업체, 1차 방위 기업에 전자 및 기계 부품을 판매하는 2차 협력업체들을 중심으로 공격했다.
 
시만텍 측은 엘더우드가 주로 하도급 업체를 대상으로 삼은 이유는 공격이 쉽기 때문이라고 분석했다. 해커들은 윈도우 PC를 감염시킨 후, 이를 이용해 공급망 깊숙이 침투한다.
 
엘더우드 해커들은 마이크로소프트 익스플로러 브라우저와 어도비 플래시 플레이어의 취약점 발견과 공격에 전문성을 갖고 있다. 
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.