Home > 전체기사
중국의 해커들, 인근 국가 군사 시설 노리기 위해 망분리도 극복
  |  입력 : 2020-05-18 13:57
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
트로픽 트루퍼 혹은 키보이라고 알려진 그룹, 6년 전부터 USB페리 사용
USB페리는 망분리 된 시스템에서 정보 탈취하는 멀웨어...2017년 처음 공개돼


[보안뉴스 문가용 기자] 중국에서 활동하는 것으로 추정되는 해킹 단체가 대만과 필리핀의 군사망을 공격했다고 보안 업체 트렌드 마이크로(Trend Micro)가 발표했다. 흥미로운 건 공격을 당한 망이 물리적으로 완전 분리되어 있었다는 것이다.

[이미지 = iclickart]


문제의 공격 단체는 트로픽 트루퍼(Tropic Trooper) 혹은 키보이(KeyBoy)라고 불리며, 2011년부터 활동해온 것으로 알려져 있다. 특히 정부, 군, 의료, 운송, 하이테크 산업을 집요하게 노려왔으며, 대만, 필리핀, 홍콩에서 특히 피해가 컸다.

트로픽 트루퍼는 이전에 스피어피싱 이메일 공격을 통해 악성 첨부파일을 피해자들에게 전달했었다. 이 악성 파일은 CVE-2017-0199 등 이전에 알려진 여러 가지 취약점들을 익스플로잇 하기 위해 제작된 것으로 밝혀졌다.

최근 보고서를 통해 트렌드 마이크로가 밝힌 내용에 따르면, 트로픽 트루퍼는 2014년 12월부터 USB페리(USBferry)라는 멀웨어를 사용해 국방 및 해군 관련 기관들을 비롯해 다양한 정부 기관들과 병원, 심지어 국립 은행들까지 공격해왔다고 한다.

USB페리는 이름에서 볼 수 있듯, USB를 기반으로 전파되는 멀웨어로, 특정 시스템에 안착한 후 다양한 명령을 실행할 수 있다고 한다. 주 목적은 USB 스토리지를 통해 중요한 데이터를 빼내는 것이다.

공격의 성공률을 높이기 위해 트로픽 트루퍼의 공격자들은 먼저 군사나 정부 기관을 직접 공격하지 않았다. 그들과 관련이 있는 서드파티 조직들이 가장 먼저 노려졌다. 군사 기관이나 정부 기관은 보안이 삼엄하기 때문이다. 한 번은 군 소속 병원을 공격한 후, 이를 통해 물리적으로 분리되어 있는 군사 망에 접속하기도 했다.

USB페리가 처음 보안 업계에 알려진 건 2017년의 일이다. 회계 컨설팅 그룹인 프라이스워터하우스쿠퍼스(PricewaterhouseCoopers)의 보고서에 최초로 USB페리가 등장했었다. 다만 기술 정보는 제공되지 않은 채였다.

트렌드 마이크로가 조사한 바에 따르면 USB페리는 최소 세 가지 버전으로 존재하며, 각각 다른 요소들로 구성되어 있다고 한다. 따라서 시스템에 설치된 후 실행하는 것들도 다르다. 하지만 대부분 표적이 되는 파일을 검색하거나 파일 및 폴더를 목록화 한 후 파일을 복제해 USB로 옮기는 정도의 작업을 실시한다.

USB페리는 제일 먼저 네트워크 연결성을 확인한 뒤, 인터넷이나 내부 망에 연결되어 있지 않다면 정보를 수집하기 시작한다. 그리고 이를 복사해 USB 드라이브로 옮긴다.

게다가 트로픽 트루퍼가 사용한 건 USB페리만이 아닌 것으로 나타났다. 트렌드 마이크로에 의하면 이들은 웰컴투Svchost(Welcome To Svchost), 웰컴투IDShell(Welcome To IDShell), 헤이웰컴서버(Hey! Welcome Server) 등과 같은 백도어들도 여럿 활용하고 있었다고 한다.

공격에 활용된 도구를 유형별로 분류하면 다음과 같다.
1) 명령행 원격 제어 리스너
2) 명령행 원격 포트 릴레이 도구
3) 백도어 페이로드 실행 로더
4) 스테가노그래피 페이로드 실행 로더
5) 포트 스캐닝 도구

트로픽 트루퍼는 스테가노그래피 기법을 사용해 자신들의 공격 행위를 감추기도 했다. 주로 정보를 C&C 서버로 전송하는 데에 있어 스테가노그래피가 활용되었다고 한다. “트로픽 트루퍼는 꽤나 오래 전부터 망분리 기술이 적용된 시스템들을 노려왔던 것으로 보입니다. 최소 6년 동안 이런 활동을 해왔습니다. 중국 인근 국가들의 군사 기관들이 주요 표적이었으며, 군사 및 정부 기관이라고 해도 방어가 까다로운 전략을 구사하고 있어 특별한 주의가 필요합니다.”

3줄 요약
1. 중국의 해커로 보이는 트로픽 트루퍼, 6년 동안 망분리 시스템 농락해 옴.
2. 특히 대만, 필리핀, 홍콩의 군사 기관들에서 정보를 탈취하는 공격 실시함.
3. 이들이 망분리 시스템을 공격하기 위해 사용한 건 USB페리라는 USB 기반 멀웨어.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)