세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
HBO 해킹한 이란인, 알고 보니 이란 정부 해커
  |  입력 : 2017-12-07 17:00
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
‘왕좌의 게임’ 해커, 차밍 키튼과 관련성 있는 듯
차밍 키튼과 관련된 호스팅 업체 인물과의 연결성 드러나


[보안뉴스 문가용 기자] ‘왕좌의 게임’으로 유명한 미국의 방송사인 HBO를 해킹한 후 미방영 에피소드를 유출하겠다고 협박한 이란 사이버 공격자가 알고 보니 이란의 사이버전 단체인 차밍 키튼(Charming Kitten) 소속이라는 사실이 추가로 드러났다. 차밍 키튼은 뉴스캐스터(Newscaster), 뉴스비프(NewsBeef)라고도 알려져 있다.

[이미지 = iclickart]


차밍 키튼을 계속 추적해온 보안 업체 클리어스카이(ClearSky)에 의하면 이 이란 해커들은 최소 2014년부터 활동해왔고, 이란 내 다양한 단체들은 물론 미국, 이스라엘, 영국 등 타 국가 단체들도 계속해서 공격해왔다. 연구 자료가 보관되는 학술 및 교육 시설, 인권 단체, 언론 매체 등이 주요 공격 대상이었다.

최근 클리어스카이는 차밍 키튼의 2016~2017년도 활동 내역에 대한 보고서를 발표했다. 이들이 어떤 인프라를 사용하고 있는지, 또 어떤 새 멀웨어를 무기로 들고 세상에 나타났는지를 알리기 위함이었다. 보고서 내용 중 차밍 키튼이 새롭게 비축한 다운페이퍼(DownPaper)라는 멀웨어에 대해 업계의 눈길을 받고 있지만, HBO 해커라고 알려진 이란 용의자가 사실은 차밍 키튼의 일원이었다는 것이 단연 압도적인 관심을 받고 있다.

HBO 해커의 이름은 베자드 메스리(Behzad Mesri)이며 온라인에서는 스코트 바샤트(Skote Vahshat)라는 이름으로도 활동했다. 베자드 메스리는 HBO의 네트워크에 침투해 인기리에 방영되고 있는 TV 프로그램의 대본들과 방영되지 않은 영상 자료를 훔쳐내는 데 성공했다. 이렇게 확보한 자료를 가지고 HBO에 6백만 달러를 요구하기도 했다.

이미 미국 사법부의 기소장을 통해서도 베자드 메스리가 이란 군대를 위한 해킹 공격을 실행한 적이 있다는 사실이 알려진 바 있다. 특히 이스라엘의 핵 관련 소프트웨어 시스템과 사회 기반 시설, 군 시스템을 공격한 사실이 드러났다. 그러나 당시 기소장에서는 베자드가 터크 블랙 햇(Turk Black Hat) 소속이라고 기재됐었다.

그 기소장만 보고는 베자드와 차밍 키튼을 쉽게 연관 지을 수가 없었다. 하지만 이란의 사이버전 관련 활동만을 추적해온 전문가의 눈에는 그 기소장만으로도 충분했나보다. 이란 해커들을 집중적으로 추적하는 보안 전문가 콜린 앤더슨(Collin Anderson)은 시큐리티위크(Security Week)라는 보안 전문 매체를 통해 “기소장에 있는 정보만 봐도 베자드가 차밍 키튼의 일원인 것을 알 수 있다”고 주장한 것.

그러므로 베자드와 차밍 키튼을 연결시킨 건 클리어스카이가 두 번째다. 클리어스카이는 “베자드와 ArYaIeIrAN이라는 인물과 연관성이 있는데, 이 ArYaIeIrAN은 터크 블랙 햇의 멤버이기도 하다”고 설명한다. 문제는 이 괴상한 이름의 인물의 이메일 주소로 차밍 키튼 도메인 몇 개가 등록되어 있다는 것. 또한 이란의 호스팅 업체인 마한서버(MahanServer)의 도메인을 등록시키는 데에도 이 ArYaIeIrAN의 이메일 주소가 사용되기도 했다. 마한서버는 차밍 키튼의 공격 인프라를 호스팅한 업체다.

마한서버의 CEO는 모하마드 라소울 아크바리(Mohammad Rasoul Akbari)라는 인물인 것으로 알려졌다. 마한서버의 직원은 딱 한 명인데 이름은 모하마다민 케슈바리(Mohammadamin Keshvari)다. 클리어스카이는 ArYaIeIrAN이 모하마드이거나 모하마다민일 수 있다. 모하마드의 경우 베자드와 페이스북 친구이기도 하다. 클리어스카이는 이 세 인물(모하마드 아크바리, 모하마다민 케슈바리, 베자드 메스리)가 차밍 키튼과 관련이 있는 인물이라고 어느 정도 확신하고 있다고 보고서를 통해 밝혔다.

해당 보고서는 이 주소(http://www.clearskysec.com/wp-content/uploads/2017/12/Charming_Kitten_2017.pdf)를 통해 열람 및 다운로드 받을 수 있다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)