보안

“러시아 해커 집단, 금융권 해킹 준비 중” 루트나인B

Lucian Constantin | IDG News Service 2015.05.13
한 보안업체가 정부, 군사, 언론사를 공격하는 것으로 알려진 러시아 해커 집단이 미국을 비롯하여 여러 국가의 은행에 대한 해킹 공격을 준비하고 있다는 사실을 전하며 주의를 당부했다.

루트나인B(Root9B)의 애널리스트가 발견한 정보에 따르면, 이들 집단은 최신 악성코드를 작성하는 것을 비롯, 목표로 하는 대상들과 유사한 도메인 이름을 등록하고 지휘통제 서버를 구축하고 있는 것으로 드러났다.

러시아 해커들은 지난 2007년부터 활동을 시작했으며, ATP28과 폰 스톰(Pawn Storm)로 잘 알려져 있다. 복수의 보안 업체들은 이들이 러시아 이외의 지역에서 공격을 감행하며, 러시아 정보 기간과 연계됐을 가능성에 대해 언급했다.

이 해커들이 만든 최초의 악성코드는 세드닛(Sednit) 또는 소파시(Sofacy)라는 백도어 프로그램으로, 스피어 피싱 이메일 또는 감염된 웹사이트에서 구동하는 드라이브 바이 다운로드(Drive by Download)형식으로 피해자를 양산한다.

지난 12일(현지 시각) 발표된 한 보고서에 따르면, 루트나인B 애널리스트들은 지난 4월 말 중동 지역의 금융 기관에서 발생했던 것과 유사한 피싱 도메인을 거쳤다고 밝혔다. 좀 더 심도 있게 분석해본 결과, 러시아 해커 집단이 차후 공격을 단행하기 위해 설치한 최신 소파시 악성코드 샘플과 서버, 도메인을 발견했다.

수집한 정보를 토대로 분석해본 결과, UAE, 뱅크 오브 아메리카(Bank of America), TD 캐나다 트러스트(TD Canada Trust) 유니세프(UNICEF), UBA(United Bank for Africa), 리전스 뱅크(Regions Bank) 등을 포함한 미국 시중 은행을 겨냥하는 것으로 드러났다. 코메르츠은행(Commerzbank)도 여기에 포함될 가능성도 농후한 것으로 밝혀졌다.

루트나인B는 이와 같은 사실을 해당 금융 기관과 국제 및 미국 당국에 경고했다. 아직 이 공격이 시작됐는지는 분명하지 않으나, 루트나인B 애널리스트들은 이들이 스피어피싱 방식을 포함하여 공격을 진행할 것이라고 말했다.

이 보안업체는 해커들이 설정한 지휘통제 서버의 IP 주소와 최신 악성코드 샘플에 대한 해시를 공개했으며, 이에 따라 해당 네트워크를 막을 수 있을 것으로 보인다.

루트나인B은 지금까지 밝혀진 정황들을 토대로 ATP28 내부에 2개의 하위그룹이 있을 것으로 추정하고 있다. 한 그룹은 군사와 정부 기관을 겨냥하며, 다른 그룹은 금융 기관과 은행을 표적으로 삼고 있다.

물론, 해커들은 자신들의 공격 기술과 대상을 바꾸기 위해 해킹 시도를 뒤로 미출 수 있다. 따라서 금융 기관들은 경계 태세를 갖추고 예상 가능한 스피서피싱 공격 시도에 대비하여 모든 이메일을 검사해야 한다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.