Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
보안

‘반짝 출현 후 사라진’ 10대 해킹단체 랩서스 수법과 대비책

Melanie Staudacher | CSO 2022.08.16
미국 사이버보안 회사 테너블(Tenable)의 선임 연구 엔지니어 클레어 틸스가 블로그에 해킹그룹 랩서스(Lapsus$)를 추적해 조사한 결과를 발표했다. 랩서스의 공격 수법에 대해 “겁 없고, 터무니없으며 단순하기 짝이 없다”라고 평가했다.
 
ⓒDepositphotos

랩서스는 마이크로소프트, 삼성, 엔비디아, 보다폰, 유비소프트, 옥타 같은 유명한 회사를 공격해 이목을 집중시켰다. 데이터를 탈취하거나 랜섬웨어로 피해 기업을 갈취하기도 했다. 

랩서스가 악명을 얻기까지
다른 사이버 범죄 조직과 달리, 랩서스는 오직 자체 텔레그램 채널을 통해 운영된다. 다크 웹에서 유출 사이트를 운영하지 않는다. 지금까지 데이터를 갈취할 회사를 골라 달라며 텔레그램에 커뮤니티에 물어보는 방식으로 공격할 기업을 언급해왔다.

랩서스는 단순한 수법으로 파격적인 공격 방식을 전개해 많은 이를 당황케 했다. 예를 들어, 올해 초에는 고객 센터 제공업체 시텔(Sitel)의 컴퓨터 시스템에 침입하는 것을 시작으로 단계적인 해킹 전략을 구사했다. 이를 통해 시텔과 협력하는 클라우드 보안 업체 옥타에서 일하는 지원 엔지니어의 노트북까지 해킹해 결국 옥타의 기업 네트워크까지 침투했다.

틸스에 따르면, 랩서스 그룹은 다음과 같이 꽤나 보편적인 수법을 사용해왔다: 
 
  • 외부에 공개된 로그인 정보를 이용하거나 다크웹에서 로그인 정보를 구매하여 공격할 기업의 네트워크에 초기 접근 
  • 비밀번호 도용
  • 직원들에게 대가를 지급해 접근 정보 구매 
  • 헬프데스크의 도움을 받거나 인증요청을 대량으로 살포해 다중 인증 절차 우회 
  • VPN, 가상 데스크톱, 마이크로소프트 쉐어포인트, 가상 데스크톱 같은 애플리케이션에 로그인해 추가 크리덴셜 및 중요 정보 탈취 
  • 지라(Jira), 깃랩(GitLab) 및 컨플루언스(Confluence) 같은 소프트웨어의 미패치 취약점을 악용해 시스템 접근 권한 획득 
  • 노드VPN(NordVPN) 또는 무료 파일 삭제 서비스를 이용해 데이터 탈취한 뒤 리소스 제거
  • 피해자의 클라우드 접근 권한을 이용해 해킹 인프라를 구축하고 다른 모든 글로벌 관리자의 접근 권한 박탈 

용의자 체포 후 잠잠해진 랩서스, 안심하긴 일러 
비록 랩서스 조직의 개별 구성원을 식별하기는 어렵지만, 영국의 법 집행 기관은 해킹 경로를 추적해 이 범죄가 브라질과 영국에 있는 몇몇 십대들의 소행이라는 점을 밝혀냈다. 결국 영국 경찰은 올해 3월 랩서스 갱단으로 추정되는 용의자 7명을 체포했다. 틸스는 이후 랩서스가 '침묵을 지키고 있다'는 점을 보면 이 해킹그룹의 역량이 뛰어날지는 몰라도 조직으로서는 미숙한 듯 보인다고 말했다.

틸스의 말 대로 랩서스는 지난 몇 달 동안 이렇다할 행적을 보이지 않고 있다. (한편 시스코는 지난 5월 회사가 당한 IT 네트워크 침해 사건에 랩서스가 연루되어 있다고 주장했다). 틸스는 이가 몇몇 갱단의 신원이 노출되어 체포되었기 때문인지, 아니면 십대들이 단순히 흥미를 잃은 것인지 알 수 없다고 말했다.

보고서는 다음과 같은 경고로 마무리됐다.

"랜섬웨어 공격은 너무 복잡하거나 비용이 많이 들지 않는 한 절대로 끝나지 않을 것이다. 기업은 이제 알려진 랜섬웨어 공격 수법에 대해 어떤 방어책을 갖추고 있는지, 어떻게 강화할 수 있는지, 그리고 현재 있는 위기 대응 계획이 효과적인지 재차 확인해야 한다. 랩서스와 같은 해커 그룹을 과소평가해서는 안 된다. 특히 이 그룹은 단순한 수법으로도 대기업을 해킹해 큰 피해를 줄 수 있다는 점을 입증했기 때문이다.”
ciokr@idg.co.kr
 
 Tags 랩서스 테너블 랜섬웨어 다크웹
Sponsored
IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.