이란의 해킹 단체 샤퍼, 최근 오픈소스 사용량 늘렸다

입력 : 2018-03-02 11:03

항공 관련 정보 수집에 몰두...정확한 이유 밝혀지지 않아
오픈소스 사용량 늘려, 방어하는 입장에서 툴 사용 확인해야

[보안뉴스 문가용 기자] 이웃 국가들에 대한 이란의 해킹 행위가 점차 사나워지고 있다. 최근 이란의 한 해킹 단체가 중동 지역의 항공사와 운송 기업들을 대상으로 활동을 시작하기도 했다. 시만텍(Symantec)에 의하면 이 그룹의 이름은 샤퍼(Chafer)로, 활동만이 아니라 사용하는 해킹 툴도 늘렸다고 한다.


샤퍼는 새롭게 등장한 단체가 아니다. 최초로 이들이 보도되기 시작한 건 2년전부터다. 시만텍에 의하면 주로 항공사 및 비행 관련 다양한 서비스 산업, 페이롤 서비스, 엔지니어링 컨설팅 업체, 문서 관리 소프트웨어를 노려왔다. 시만텍의 기술 책임자인 비캄 타쿠르(Vikam Thakur)는 “샤퍼는 첩보를 수집하는 것을 위주로 활동해왔고, 직접적인 피해를 일으키지는 않았다”고 설명한다.

“항공사 운영 방식이나 특정 서비스의 비용, 업무 절차에 관한 정보를 수집합니다. 하지만 이런 정보들을 수집해서 이루려고 하는 궁극적인 목적이 무엇인지는 아직 정확하게 파악되지 않고 있습니다.” 보안 업체 크라우드스트라이크(CrowdStrike)의 부회장인 아담 메이어스(Adam Meyers)는 “정보를 모으는 이유가 금전적인 것만은 아닐 수 있다”고 말한다. “중동은 항공 교통과 관련한 국가 간 문제들이 꽤나 많은 곳입니다. 그러니 항공사 등을 겨냥한 정보 수집 행위는 충분히 중대한 의미를 갖게 됩니다.”

샤퍼는 보안 업체에 따라 헬릭스 키튼(Helix Kitten)이나 오일 리그(Oil Rig)라고 불리기도 한다. 크라우드스트라이크는 이들이 최근 사용하기 시작한 툴들을 확인하는 것도 중요한 일이라고 지적한다. “오픈소스 툴이나 다목적 툴들을 부쩍 많이 활용하기 시작했습니다. 이중 몇 가지는 저희(크라우드스트라이크) 내에서도 합법적인 네트워크 관리 등을 위해 사용하고 있는 것이기도 합니다.” 샤퍼가 사용하는 툴들을 정리하면 다음과 같다.

1) 렘콤(Remcom) : 마이크로소프트의 시스인터널즈(Sysinternals)라는 툴인 PsExec의 오픈소스 버전이라고 볼 수 있다. 다른 시스템들 내에서 프로세스를 실행시키는 기능을 가지고 있다.

2) NSSM(Non-sucking Service Manager) : 윈도우 서비스 관리자(Windows Service Manager)의 오픈소서 버전이라고 볼 수 있다. 서비스를 설치하고 삭제하는 데 사용되며 시스템/서비스이 이상 현상을 일으킬 때 재시작할 수 있다.

3) GNU HTTP터널(GNU HTTPTunnel) : 리눅스 컴퓨터에서 양방향 HTTP 터널을 만드는 기능을 가진 오픈소스 툴로, 넘어갈 수 없는 방화벽 너머로까지의 통신을 가능하게 해준다.

4) 울트라VNC(UltraVNC) : 마이크로소프트 윈도우용 원격 관리 툴이다. 역시 오픈소스다.

5) NBT스캔(NBTScan) : Net바이오스 이름 정보 찾아내주는 IP 네트워크 스캐팅 툴이다. 무료다.

그 외에도 샤퍼는 Pw덤프(Pwdump)와 플링크(Plink) 등의 오픈소스 툴들도 꽤나 오랫동안 사용해왔다고 한다. “공격을 받을만한 조직들이라면 혹은 공격이 의심되는 조직들이라면 이러한 툴들이 사용되고 있는지, 사용되고 있다면 내부 관리자가 합법적인 용도로 사용하고 있는 것인지, 아니면 외부의 해커가 사용하고 있는 것인지 확인해봐야 합니다. 그런 이유로 샤퍼가 사용하는 툴들을 공개하는 것이기도 하고요.”

또한 타쿠르는 “샤퍼가 최근 스피어피싱 기법을 주로 활용해 사용자들이 악성 엑셀 문서를 열도록 하고 있다”고 경고했다. “이 문서에는 악성 VBS 파일이 들어 있습니다. 파워셸 스크립트를 실행시키는 기능을 가지고 있죠. 사용자가 이 파일을 열 경우, 스크립트가 실행되고, 몇 가지 데이터 수집 애플리케이션들이 설치됩니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  주식투자 정보사이트 ‘아이투자’, 해킹으로 ...

• 2

  웰시투자그룹, 자사 사칭 금전 사기 피해 주...

• 3

  리멤버, 회사 사칭 ‘계정에 대한 탈퇴 요청...

• 4

  2024년 3월 랜섬웨어 공격 사례 집계해보...

• 5

  메모리 안전 언어로 떠오르는 러스트의 라이브...

• 1

  [보안을 위한 보안: 버그바운티] 공격자 시...

• 2

  [퀴즈 이·보·소] 거듭되는 취약점에 대표가...

• 3

  메모리 안전 언어로 떠오르는 러스트의 라이브...

• 4

  주식투자 정보사이트 ‘아이투자’, 해킹으로 ...

• 5

  웰시투자그룹, 자사 사칭 금전 사기 피해 주...

• 1

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 2

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 3

  2023년 가장 주목받은 사이버 위협 커뮤니...

• 4

  NSA의 제로트러스트 가이드라인, CISO는...

• 5

  지니언스, ‘제로 트러스트 전략 2.0’ 발...