Home > 전체기사

삼성·LG전자부터 MS·옥타까지 뚫렸다! ‘랩서스’ 해커그룹 집중 추적기

  |  입력 : 2022-03-24 12:42
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
S2W의 Talon 발표 ‘Footsteps of the LAPSUS$ hacking group’ 보고서 살펴보니
랩서스, 2021년 12월 브라질 보건부 해킹하며 알려지기 시작...이후 엔비디아, MS, 옥타 등 해킹
외부에 공개된 취약한 서버와 유출된 크리덴셜을 주로 활용하는 것으로 추정돼


[보안뉴스 원병철 기자] 최근 엔비디아(NVIDIA)와 유비소프트(UBISOFT) 등 글로벌 기업은 물론 삼성전자와 LG전자 등 한국기업을 해킹해 유명세를 떨친 랩서스(LAPSUS$)가 마이크로소프트(Microsoft)와 옥타(Okta)까지 해킹한 사실을 알리며 악명을 떨치고 있다. 과연 랩서스는 어떤 해킹그룹일까?

▲랩서스 텔레그램 프로필 이미지[자료=S2W]


데이터 인텔리전스 기업 에스투더블유(S2W)의 CTI 그룹인 Talon(탈론)에서 발표한 랩서스의 상세 분석 보고서에 따르면, 랩서스가 처음 모습을 드러낸 것은 2021년 5월 15일 딥웹 포럼에서 활동을 시작하면서부터다.

랩서스의 등장
랩서스는 데이터 탈취를 전문으로 수행하는 공격그룹으로, 초기에는 딥웹/다크웹 포럼에서 피해 기업에 대한 글을 올렸지만, 2021년 12월 10일부터 텔레그램 채널을 생성해 홍보 및 활동을 이어가고 있다. 특히, 브라질 보건부의 데이터를 텔레그램에서 유출해 사람들의 관심을 끌었고, 이어 엔비디아, 삼성전자, LG전자, 마이크로소프트, 옥타에 대한 데이터를 유출하며 기세를 이어갔다.

랩서스가 처음 데이터를 판매한 것은 2021년 5월 15일 한 딥웹 포럼이었다. 이들은 당시 세계 최대 유전 서비스 업체인 SCHLUMBERGER의 고객 및 직원 정보가 포함된 83만 6,000여건의 데이터를 2BTC에 판매했다. 당시는 랩서스가 아닌 ‘APT777/GoldFish Team’이라는 이름을 사용한 것으로 추정된다. 또한, 두 달 뒤에는 EA로부터 780GB의 소스코드를 탈취했으며, 자신들의 협상을 거부할 경우 데이터를 유출할 것이라는 글을 올렸다. 이때 자신들의 PGP(전자우편 암호화 프로그램) 키를 공개했는데, 이때 ‘LAPSUS$’라는 이름이 처음 노출됐다.

S2W는 랩서스가 이때를 기점으로 팀을 본격적으로 셋업하고, 대기업에 대한 공격과 데이터 유출 협박을 통해 금전적 이득을 추구해온 것으로 추정했다. 이후 이들은 2021년 10월 브라질 보건부를 해킹하고, 협박을 위해 텔레그램 채널을 개설하면서 본격적으로 활동을 시작했다.

랩서스는 자신들은 랜섬웨어를 사용하지 않고, 오직 랜섬(Ransom)만을 수행한다고 밝혔다. 이들은 금전적 이득이 주 목적이며, 가끔 재미를 위해 활동한다고도 주장했다. 실제로 이들 중 일부 멤버는 금전보다는 이름을 알리기 위한 공격이나, 해킹한 기업의 홈페이지를 성인 사이트로 연결하는 등 재미를 위한 공격도 수행한 것으로 보인다.

다만 브라질 보건부 공격 때 제로데이를 사용했다고 언급한 부분이나, 윈도우즈 커널 드라이버 관련 제로데이를 언급한 부분 등 그룹 내 어느 정도 실력을 보유한 멤버도 있을 것으로 S2W는 추정했다.

랩서스는 채팅방에서 대화할 때 공지를 위한 ‘LAPSUS$’와 ‘LAPSUS$ Chat’ 계정을 사용하는데, LAPSUS$ Chat 계정의 경우 다양한 닉네임을 통해 각 멤버를 구분하기도 했다. △ADMIN A △ADMIN B △ADMIN C △ADMIN D △ADMIN E △ADMIN J △ADMIN P △ADMIN R △ADMIN S △ADMIN △Assistant A △Assistant B 등이 확인된 닉네임이다. 다만 이 닉네임들이 멤버별로 할당됐는지 확인된 것은 없다.

이들은 자신들이 최소 5명으로 구성됐으며, 대부분 브라질 국적인 것 같다고 밝혔다. 실제로 영어, 포르투갈어, 러시아어, 중국어를 사용해 채팅하는 것이 확인됐다.

또한, 2월 14일에는 자신들만의 토르(Tor) 웹사이트를 곧 오픈할 것이고, PCP 키를 공유할 것이라고 언급했다. 또한, 자신들은 파나마(Panama) 법에 의거해 공격을 수행하고 있다고 언급했다. 이게 사실이라면, 랩서스는 NordVPN과 같은 파나마에 위치한 VPN 서비스를 사용해 공격을 수행했을 가능성이 높다.

▲랩서스 공격 타임라인[자료=S2W]


랩서스는 처음 모습을 드러낸 이후 1년도 안되는 시간동안 누구나 알법한 글로벌 기업들을 연이어 해킹하며 실력을 뽐냈다. 랩서스가 해킹한 기업들을 시간별로 알아보면 다음과 같다.

① Brazilian Ministry of Health(브라질 보건부) : 2021-12-10
랩서스는 텔레그램에 브라질 보건부의 AWS(Amazon Web Services)에 대한 액세스 권한을 얻었다고 주장했다. 이를 통해 클라우드와 내부망에 있는 데이터 약 50TB를 탈취했고, 이후 모두 삭제했다고 한다. 이후 자신들에게 연락할 것을 요청하며 협상용 이메일을 함께 공개했으며, 기자들에게 인터뷰에 대한 요청도 받고 있다고 덧붙였다. 이와 함께 홈페이지도 변조했다.

이후 협상이 진전되지 않자 추가적으로 보건부 웹 시스템인 SisReg에 대한 vCenter 권한에 접근 후 스크린샷을 공유하고, ConecteSUS를 포함한 모든 웹사이트의 장애를 유발했다. 3일 뒤인 2021년 12월 13일에는 텔레그램을 통해 언론에 대한 자신들의 내용을 반박하고, 자신들이 AWS, vCenter, SisReg 데이터베이스를 모두 가지고 있으며, vCenter의 머신과 100TB 이상의 데이터를 모두 삭제했다고 밝혔다. 브라질 정부에 대한 공격은 12월 23일까지 계속되었다.

② Claro, Embratel, NET(멕시코 통신사) : 2021-12-24
세계에서 7번째로 큰 멕시코의 통신회사인 América Móvil의 자회사인 Claro, Embratel, NET(2019년에 Claro 브랜드로 합쳐짐)의 데이터를 탈취했다고 주장했다. 이들은 브라질 보건부와 마찬가지로 유출과 관련된 내용을 공유했는데, 고객 정보, 통신 인프라, 법적 문서, 소스코드, 이메일이 포함된 총 10,000TB~10PB의 데이터를 확보했다고 밝혔다. 실제로 이들이 함께 공개한 스크린샷에는 vCenter 관리 페이지와 RDP를 통해 접근한 GitLab, Sharepoint 등이 포함되어 있었다.

③ mpresa, SIC, Expresso(포르투갈 최대어 기업) : 2022-01-02
이들은 Grupo Impresa를 해킹하여, Impresa가 소유하고 있는 포르투갈 최대 TV채널 SIC와 주간 신문 Expresso에 대한 공격을 수행했다. 앞서와 다르게 텔레그램을 통해 공식 내용을 공개하지 않았지만, 대신 이들은 Expresso의 트위터 계정을 해킹했고, OPTO, Expresso, SIC의 고객들에게 SMS를 보냈다. 또한, AWS로부터 데이터를 탈취했다고 언급하며, 각 웹사이트의 메인 페이지를 변경하며 협상을 요구했다.

④ Localiza Rent a Car SA(렌터카 업체) : 2022-01-11
Localiza Rent a Car SA는 라틴아메리카 및 세계에서 가장 큰 렌터카 업체 중 하나로, 현지 시간으로 오전 2시 30분에서 4시, Localiza의 홈페이지에 접속하면 포르노 사이트로 리다이렉션되는 현상이 확인됐다. 이 현상은 2시간 정도 유지되었고, 이후에는 ‘Inaccessible due to a DNS error.’ 문구가 표시됐으며, 이는 DNS 스푸핑을 통해서 Localiza의 웹 사이트를 공격한 것으로 추정된다.

⑤ Vodafone in Portugal(영국 보다폰의 포르투갈 지사) : 2022-02-07
Vodafone의 공식 입장에 따르면, 2022년 2월 7일 밤 부터 Vodafone 포르투갈 지사에 네트워크 중단 이슈가 발생했으며, 4G/5G 네트워크, 유선 음성, 텔레비전, SMS 및 음성/디지털 응답 서비스와 같은 데이터 네트워크 기반 서비스 제공에 영향을 받았다고, 고객 데이터에는 전혀 영향이 없다고 한다. 랩서스는 공식 입장은 발표하지 않았지만, 채팅방을 통해 Vodafone으로부터 500GB의 중요 정보를 탈취했으며, Vodafon Portugal 뿐만 아니라 Vodafone Global/UK에서도 데이터를 탈취했다고 언급했다. 또한 그들은 해킹하는데 약 6개월이 소요되었다고 덧붙였다.

⑥ NVIDIA : 2022-02-23
랩서스는 2022년 2월 26일 자신들의 텔레그램 채널에 NVIDIA의 데이터 1TB를 민감 정보를 탈취했다고 주장했다. 이후 자신들의 드라이브 정보와 함께 일부 정보를 공개하였다. 공개된 정보에는 70,000개 이상의 직원 이메일 주소와 NTLM 암호 해시, 소스코드의 스크린샷이 포함되어 있었으며, 이들 중 상당수는 이후에 해킹되어 해킹 커뮤니티 내에서 유포됐다.

⑦ 삼성전자 : 2022-03-03
2022년 3월 3일, NVIDIA와 관련된 이슈가 가라앉기도 전에 자신들이 삼성전자 최신 모델에 대한 보안과 관련된 소스코드가 매우 많다는 사실을 언급하며 소스코드를 캡처해 공유했다. 이후 이틀 뒤인 3월 5일, 공식적으로 삼성에 대한 자료를 유출했다.

⑧ Ubisoft : 2022-03-11
2022년 3월 12일, 랩서스 공지방에서 Ubisoft에 대한 사이버 침해 사고 관련 뉴스를 언급했다. Ubisoft의 공식 입장에 따르면 전날인 3월 11일, Ubisoft의 일부 게임, 시스템 및 서비스에 일시적으로 중단이 되는 사고가 발생하였으며, 현재 사고를 조상 중이며 예방차원에서 전사적 차원에서 암호를 모두 재설정했다는 내용을 공개했다.

⑨ LG전자 : 2022-03-14
랩서스는 Vodafone, Impresa, MercadoLibre/MercadoPago에 대한 데이터 유출 여부를 정하는 투표가 종료된 뒤, 채팅방을 통해 곧 LG.com에 대해 소스코드를 유출할 것이라고 언급했다. 이들은 자신들의 백도어가 아침까지 살아있는지 여부에 따라 정해질 것이라고 덧붙였다. 이후 8일 뒤인 3월 22일, LAPSUS$ 그룹은 자신들의 공지방에 LGE.com 직원 및 서비스 계정들의 모든 해시가 포함된 덤프파일을 유출했다.

⑩ 마이크로소프트 : 2022-03-20
공지방을 통해 별다른 내용 없이 Microsoft의 Bing과 관련된 소스코드가 포함된 레포지토리 스크린샷을 올린 직후 삭제했다. 해당 스크린샷에는 Bing과 Cortana와 관련된 소스코드 폴더가 포함되어 있었다. 이후 8일 뒤, LG에 대한 데이터 업로드 직후, MS.7z.torrent라는 파일이 LAPSUS$ 공지방에 업로드 됐다. 이들은 Microsoft의 Bing, Bing Maps, Cortana의 소스코드라고 언급하며, Bing Maps의 경우 90%, Bing과 Cortana는 약 45%를 유출했다고 설명했다. Cortana는 Microsoft가 Windows phone 8.1, Microsoft Band, Windows 10용으로 제작한 인공지능 소프트웨어다.

▲OKTA의 주장을 반박한 랩서스의 주장[자료=S2W]

⑪ OKTA : 2022-03-22
공지방에 LG와 Microsoft에 대한 데이터가 업로드 되고 약 2시간 뒤, 몇 장의 스크린샷과 함께 okta.com에 대한 Superuser/Admin으로의 접속 화면이라는 내용이 업로드 됐다. 또한 자신들은 OKTA의 데이터가 아닌 OKTA의 고객들에 대한 데이터에 포커싱하고 있으며, 스크린샷에 노출된 이메일 주소들은 정지되어도 상관없다고 언급했다. 일부 스크린샷에 의하면, 접속에 성공한 계정을 통해 고객들이 계정에 대해서 수정 및 액세스가 가능해 보이는 점이 확인됐다. OKTA는 1월에 공격시도가 있었지만 실패했고, 피해는 없을 것이라고 발표했는데, 랩서스는 바로 자신들이 95% 달하는 클라이언트의 암호 및 MFA를 재설정할 수 있는 superuser의 포탈에 로그인했으며, OKTA의 직원이 고객 데이터에 대해 지나치게 많은 권한을 가지고 있었다고 주장했다.

랩서스 멤버 ‘wh1te’의 신원 및 활동 노출
2021년 12월 13일 랩서스의 텔레그램 채팅방에서는 ‘wh1te(@whitedoxbin)’ 유저를 언급하며, 사적인 내용은 해당 계정을 통해 얘기하라고 안내했다. 2022년 1월 6일 랩서스는 whitedoxbin과 더 이상 관련이 없으며, Alexander의 새로운 계정은 @sigmaphoned 라고 언급했다. 2022년 1월 8일, Doxbin의 Vile 라는 유저가 wh1te에 대해서 폭로하는 내용의 데이터 및 텍스트를 Doxbin에 업로드 했다.

Vile는 Wh1te가 랩서스의 멤버이며, 영국의 KIDLINGTON에 거주하고 있는 2005년 2월 19일생 16살인 Arion Kurtaj 라고 밝혔다. 현재 그는 가명으로 Alexander Pavlov를 사용하고 있고, 현재 SigmA라는 닉네임을 사용하고 있다고 언급했다. 공개된 wh1te의 딥웹/다크웹 포럼 프로필 정보를 조사한 결과, 2018년 2월부터 꾸준히 딥/다크웹 포럼에서 활동한 유저로 확인됐다. 이들은 지속적으로 제로데이 및 서버 인프라 등을 구매해왔으며, 이 정보를 기반으로 랩서스 활동을 수행해온 것으로 추정된다. 또한, 유출된 정보에 따르면 랩서스 활동을 통해 획득한 EE와 Vodafone의 정보를 이용하여 심스왑(SIM SWAP)을 해줌으로써 돈을 벌고 있는 것으로 추정된다.

S2W는 랩서스가 사용한 구체적인 TTP가 충분히 공개되지 않아, 이 그룹의 실제 기술 숙련도 및 해킹 수준은 명확히 판단하기 어렵다면서도, 침투 후 기업 내 탈취 대상이 되는 자산과 이에 접근하기 위한 방법론이 내부적으로 잘 정리되어 있는 것으로 판단된다고 설명했다. 특히, 랩서스가 공개한 스크린샷 및 채팅 기록에는 유효한 VPN, RDP, AWS 및 Azure 등의 크리덴셜을 통해 접속을 하는 경우가 매우 큰 비중을 차지하고 있기 때문에 외부에 공개된 취약한 서버와 유출된 크리덴셜을 주로 활용하는 것으로 추정된다고 설명했다. 마지막으로 이들은 본격적으로 활동한지 약 4개월밖에 되지 않았지만 매우 큰 관심을 받고 있다면서, 앞으로도 활발하게 활동할 가능성이 높기 때문에 각 기업 및 기관에서는 해당 공격그룹에 대한 지속적인 인텔리전스 수집 및 대비가 필요하다고 강조했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)