2015.10.06

게임 산업 노린 '윈티' 해킹 그룹 발견...카스퍼스키랩

편집부 | ITWorld
카스퍼스키랩 연구진은 '윈티(Winnti)' 해킹 그룹의 활동을 추적한 끝에 부트킷 설치 프로그램을 기반으로 하는 보안 위협을 밝혀냈다.

카스퍼스키랩 연구진이 공격 툴의 이름인 ‘HDD 루트킷’에 따라 ‘HDRoot’라고 명명한 이 보안 위협은 대상 시스템에서 오랜 시간 머무르면서 지속적인 공격을 감행하는 범용 플랫폼이다. 이는 모든 종류의 악성코드를 실행하기 위한 발판으로도 사용될 수 있다.

사이버 범죄 조직인 윈티는 주로 소프트웨어 업체를 대상으로 산업 사이버 스파이 활동을 전개하며, 그 가운데서도 특히 게임 산업을 노리는 것으로 알려져 있다. 최근에는 제약 산업 분야에도 손을 뻗치고 있음이 확인됐다.

‘HDRoot’를 발견한 계기는 특이한 악성코드 샘플이 카스퍼스키랩의 글로벌 연구 및 분석 팀(GReAT)의 관심을 끌면서 시작됐다.

분석 결과 HDRoot의 부트킷은 시스템에서 오랜 시간 머무르면서 지속적인 공격을 감행하는 범용 플랫폼인 것으로 밝혀졌다. 또한 다른 악성코드를 실행하는 데에도 사용할 수 있다. GReAT의 연구진은 이 플랫폼을 활용해 실행된 2가지 종류의 백도어를 발견했고, 아직 밝혀지지 않은 백도어가 더 많은 것으로 추정하고 있다.

이들 백도어 가운데 하나는 대한민국의 안티 바이러스 제품인 안랩의 V3 라이트와 V3 365 클리닉, 이스트소프트의 ALYac을 무력화하는 기능이 있다.

카스퍼스키 시큐리티 네트워크의 데이터에 따르면, 대한민국은 일본, 중국, 방글라데시, 인도네시아와 함께 동남아 지역에서 윈티 그룹의 주요 공격 국가 가운데 하나였다. 또한 영국과 러시아에서도 각각 하나씩 찾아냈으며 이 곳 두 기업 모두 이전에 이 그룹의 표적이 된 것으로 나타났다.

윈티 그룹은 기업이 모든 영역에서 최고 수준의 보안 정책을 적용하는 것은 아니기 때문에 숨겨야 할 요소와 관리자들이 간과할 수 있는 부분이 무엇인지 그간의 경험으로 잘 알고 있었기 때문이다. 시스템 관리자가 처리해야 할 일은 너무 많은데, 대응팀이 소규모일 경우 사이버 범죄 활동이 탐지되지 않을 확률은 더욱 높아진다.

대한민국, 영국, 러시아의 기업에서 발견된 지능형 공격의 배후로 밝혀진 윈티 그룹 HDRoot는 이 공격 그룹이 만들어질 당시, 초기에 합류한 누군가가 HDD 루트킷을 기반으로 개발한 것으로 보인다. 카스퍼스키랩에서는 윈티가 조직으로서 모양을 갖추기 시작한 시기는 2009년으로 보고 있다.

또한, 윈티 그룹에서 다른 조직의 소프트웨어를 활용했을 가능성도 있다고 카스퍼스키랩은 밝혔다. 이런 유틸리티와 소스코드는 중국이나 다른 사이버 범죄 블랙 마켓에서 유통되고 있을 것이다. 카스퍼스키랩은 윈티 악성코드를 탐지한 이후로 한 달도 채 지나지 않아 새로운 변종이 발견되기도 했다. editor@itworld.co.kr


2015.10.06

게임 산업 노린 '윈티' 해킹 그룹 발견...카스퍼스키랩

편집부 | ITWorld
카스퍼스키랩 연구진은 '윈티(Winnti)' 해킹 그룹의 활동을 추적한 끝에 부트킷 설치 프로그램을 기반으로 하는 보안 위협을 밝혀냈다.

카스퍼스키랩 연구진이 공격 툴의 이름인 ‘HDD 루트킷’에 따라 ‘HDRoot’라고 명명한 이 보안 위협은 대상 시스템에서 오랜 시간 머무르면서 지속적인 공격을 감행하는 범용 플랫폼이다. 이는 모든 종류의 악성코드를 실행하기 위한 발판으로도 사용될 수 있다.

사이버 범죄 조직인 윈티는 주로 소프트웨어 업체를 대상으로 산업 사이버 스파이 활동을 전개하며, 그 가운데서도 특히 게임 산업을 노리는 것으로 알려져 있다. 최근에는 제약 산업 분야에도 손을 뻗치고 있음이 확인됐다.

‘HDRoot’를 발견한 계기는 특이한 악성코드 샘플이 카스퍼스키랩의 글로벌 연구 및 분석 팀(GReAT)의 관심을 끌면서 시작됐다.

분석 결과 HDRoot의 부트킷은 시스템에서 오랜 시간 머무르면서 지속적인 공격을 감행하는 범용 플랫폼인 것으로 밝혀졌다. 또한 다른 악성코드를 실행하는 데에도 사용할 수 있다. GReAT의 연구진은 이 플랫폼을 활용해 실행된 2가지 종류의 백도어를 발견했고, 아직 밝혀지지 않은 백도어가 더 많은 것으로 추정하고 있다.

이들 백도어 가운데 하나는 대한민국의 안티 바이러스 제품인 안랩의 V3 라이트와 V3 365 클리닉, 이스트소프트의 ALYac을 무력화하는 기능이 있다.

카스퍼스키 시큐리티 네트워크의 데이터에 따르면, 대한민국은 일본, 중국, 방글라데시, 인도네시아와 함께 동남아 지역에서 윈티 그룹의 주요 공격 국가 가운데 하나였다. 또한 영국과 러시아에서도 각각 하나씩 찾아냈으며 이 곳 두 기업 모두 이전에 이 그룹의 표적이 된 것으로 나타났다.

윈티 그룹은 기업이 모든 영역에서 최고 수준의 보안 정책을 적용하는 것은 아니기 때문에 숨겨야 할 요소와 관리자들이 간과할 수 있는 부분이 무엇인지 그간의 경험으로 잘 알고 있었기 때문이다. 시스템 관리자가 처리해야 할 일은 너무 많은데, 대응팀이 소규모일 경우 사이버 범죄 활동이 탐지되지 않을 확률은 더욱 높아진다.

대한민국, 영국, 러시아의 기업에서 발견된 지능형 공격의 배후로 밝혀진 윈티 그룹 HDRoot는 이 공격 그룹이 만들어질 당시, 초기에 합류한 누군가가 HDD 루트킷을 기반으로 개발한 것으로 보인다. 카스퍼스키랩에서는 윈티가 조직으로서 모양을 갖추기 시작한 시기는 2009년으로 보고 있다.

또한, 윈티 그룹에서 다른 조직의 소프트웨어를 활용했을 가능성도 있다고 카스퍼스키랩은 밝혔다. 이런 유틸리티와 소스코드는 중국이나 다른 사이버 범죄 블랙 마켓에서 유통되고 있을 것이다. 카스퍼스키랩은 윈티 악성코드를 탐지한 이후로 한 달도 채 지나지 않아 새로운 변종이 발견되기도 했다. editor@itworld.co.kr


X