배드래빗, NSA 해킹 툴 ‘이터널로맨스’ 이용해 전파

러시아 중심으로 전 세계 15개국 감염시킨 배드래빗 랜섬웨어
NSA 해킹 툴 이용해 전파... 낫페트야와 동일 공격자로 추정

[보안뉴스 오다인 기자] 배드래빗(Bad Rabbit) 랜섬웨어가 24일을 기점으로 맹렬하게 전파됨에 따라 보안 연구자들은 데이터 원격 수집 등을 통해 이번 공격을 낱낱이 파헤치고 있다. 맨 처음 드러난 사실은 배드래빗이 페트야(Petya)와 낫페트야(NotPetya)의 코드를 수정해서 사용하긴 했지만 워너크라이(WannaCry) 같은 익스플로잇을 통해 전파되진 않았다는 점이었다.

[이미지=iclickart]

그러나 26일 시스코 시스템즈(Cisco Systems)의 탈로스 연구팀은 배드래빗 랜섬웨어 공격이 일명 ‘이터널로맨스(EternalRomance)’라는 익스플로잇을 사용해 전파됐다고 발표했다. 이터널로맨스는 미국 국가안보국(NSA)에서 유출된 툴 중의 하나로, 올 여름 ‘니에트야(Nyetya: ‘페트랩(Petrwrap)’ 또는 ‘골든아이(Goldeneye)’라고도 불린다)’ 랜섬웨어 공격에서 피해 조직 내에서 전파되는 데 사용된 툴이기도 하다.

배드래빗 랜섬웨어는 15개 국가의 정부기관, 언론사, 교통기관 등 수백 개 조직에 피해를 입혔다. 러시아의 대형 언론사 인터팩스 에이전시(Interfax Agency)와 온라인 뉴스 사이트 폰탄카(Fontanka), 우크라이나의 교통기관 키예프 메트로(Kiev Metro)과 오데사 국제공항(Odessa International Airport)을 포함해 여러 사회기반시설 및 금융 관계 부처도 이번 랜섬웨어 공격으로 피해를 입었다. 가장 큰 피해를 입은 지역은 러시아로, 보안 업체 어베스트(Avast)에 따르면 71%의 피해자가 러시아에 집중됐다.

전 세계 보안 연구자들은 현재 배드래빗 공격의 사후조사를 수행하고 있으며, 공격의 배후와 멀웨어의 출처에 대해서는 아직까지 논란이 일고 있는 상태다.

25일 연구자들은 배드래빗 공격자가 하드코드된 크리덴셜 목록과 미미카츠(Mimikatz)의 비밀번호 추출 수법을 이용해서 SMB 로컬 네트워크로 웜이 전파되는 것처럼 배드래빗을 전파시켰다는 사실을 정확히 짚어낼 수 있었다.

시스코 발표에 따르면, 배드래빗을 SMB를 통해 직접 퍼뜨리는 수단으로 이터널로맨스도 사용됐다.

시스코 탈로스의 위협 연구자 닉 비아시니(Nick Biasini)는 “(배드래빗은) 아직까지 활발하게 조사되고 있는 대상”이라면서 “리버스 엔지니어링(reverse engineering) 분석 결과, 어떤 익스플로잇 하나가 배드래빗에 들어있었다는 사실을 밝혀낼 수 있었다”고 설명했다. “처음엔 이 익스플로잇이 사용된 흔적도 찾을 수 없었습니다. 이런 익스플로잇이 실제 사용된 사례에 대해서도 전혀 드러난 바 없었고요. 리버스 엔지니어링 과정에서 이 익스플로잇의 정체가 드러난 것이죠.”

한편, 배드래빗을 연구하고 있는 러시아의 보안 업체 그룹 IB(Group IB)는 26일 배드래빗의 최초 감염 경로를 밝혔다. 그룹 IB에 따르면, 배드래빗은 러시아와 우크라이나의 여러 언론사 웹사이트에서 드라이브 바이(drive-by) 다운로드 방식으로 최초로 멀웨어를 전파시켰다. 또한, 그룹 IB 연구자들은 배드래빗 공격자가 올해 6월 우크라이나의 에너지, 금융, 통신사 등의 조직을 겨냥해 낫페트야 공격을 펼친 자와 동일 인물일 가능성이 “매우 높다”고 말했다.

그룹 IB는 26일 공지를 통해 “배드래빗은 해시 계산, 네트워크 분산 로직, 로그 제거 프로세스 등에서 낫페트야와 동일한 기능을 갖고 있다”고 설명했다.
[국제부 오다인 기자(boan2@boannews.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다