Home > 전체기사

수천만 달러 훔쳐낸 크립토코어 캠페인, 배후 세력이 라자루스?

  |  입력 : 2021-05-25 14:24
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
2018년부터 세계 여러 나라의 암호화폐 거래소가 계속해서 침해되어 왔다. 개별적인 사건인 것으로 보였는데, 보안 업체 클리어스카이가 종합해 보니 단 하나의 그룹이 진행해온 것처럼 보이기 시작했다. 그 하나의 그룹은 북한의 라자루스라고 한다.

[보안뉴스 문가용 기자] 북한의 국가 지원 해커 그룹인 라자루스(Lazarus)가 크립토코어(CryptoCore)라는 사이버 공격 캠페인의 배후 세력이라는 주장이 다시 한 번 나왔다. 이스라엘의 보안 업체 클리어스카이(ClearSky)로부터다. 크립토코어는 이스라엘, 일본, 유럽, 미국의 암호화폐 거래소로부터 수천만 달러를 훔쳐낸 사이버 공격 캠페인이다.

[이미지 = utoimage]


클리어스카이가 라자루스가 크립토코어의 배후에 있다고 주장하는 것은, 보안 업체인 에프시큐어(F-Secure), 일본 침해대응센터, NTT 시큐리티(NTT Security) 등이 지난 수개월 동안 개별적으로 발표한 사건 보고서를 종합했을 때 유사한 점들을 적잖게 발견할 수 있었기 때문이라고 한다. 라자루스는 2009년 처음 등장해 정치적, 금전적 목적을 가지고 세계 여러 조직들을 공격해 온 해킹 그룹이다.

크립토코어는 크립토미믹(CryptoMimic), 댄저러스패스워드(Dangerous Password), 케이지 카멜레온(CageyChameleon), 리리터틀(Leery Turtle)이라고도 불리는 캠페인으로, 암호화폐 지갑을 훔치는 것을 주요 목적으로 하고 있다. 2018년부터 시작된 것으로 보이며, 스피어피싱 공격을 통해 피해자들의 비밀번호를 훔치며, 이를 가지고 자금을 탈취하는 것을 주요 수법으로 삼고 있다.

현재까지 라자루스는 2억 달러가 넘는 암호화폐를 크립토코어 캠페인을 통해 훔친 것으로 추정된다고 클리어스카이는 2020년 6월 보고서를 통해 주장한 바 있다. 당시 보고서에서는 크립토코어의 피해자가 미국, 일본, 중동의 암호화폐 거래소 다섯 곳인 것으로 밝혀졌다. 현재는 더 많은 피해가 발생한 상황이라고 한다.

피해자가 많아짐에 따라 여러 조직들이 해당 공격에 대한 보고서를 발표했는데, 이것이 위에서 언급한 에프시큐어와 일본 CERT의 발표 내용을 포함하고 있다. 클리어스카이가 이러한 보고서들의 침해지표(IoC)들을 비교 분석했을 때, 상당히 많은 부분에서 유사성을 발견할 수 있었다고 한다. 그렇기 때문에 거대한 공격의 일부분을 각기 접한 것일 가능성이 높아 보인다고 클리어스카이는 주장했다. 참고로 과거 보고서들 중 크립토코어 캠페인을 라자루스의 소행으로 본 건 에프시큐어 뿐이었다.

거기다가 크립토코어 캠페인에서 활용된 멀웨어들이 과거 라자루스가 벌였던 공격 캠페인에서 사용됐던 그것과 상당히 유사하다는 걸 알아내기도 했다. 클리어스카이의 연구원들은 “라자루스는 지난 수년 동안 여러 조직들을 성공적으로 침투해 온 단체”라며 “이스라엘 조직을 표적 삼아 공격한 것은 처음”이라고 설명하기도 했다.

에프시큐어의 보고서는 여기(https://labs.f-secure.com/assets/BlogFiles/f-secureLABS-tlp-white-lazarus-threat-intel-report2.pdf)서, 일본 CERT의 보고서는 여기(https://blogs.jpcert.or.jp/en/2019/07/spear-phishing-against-cryptocurrency-businesses.html)서, NTT시큐리티의 보고서는 여기(https://vb2020.vblocalhost.com/uploads/VB2020-Takai-etal.pdf)서 열람이 가능하다.

오늘 발표된 클리어스카이의 보고서는 여기(https://www.clearskysec.com/cryptocore-lazarus-attribution/)서 열람이 가능하다.

3줄 요약
1. 2018년부터 진행된 것으로 보이는 크립토코어 캠페인, 북한 소행인 듯.
2. 지난 수개월 동안 벌어진 암호화폐 해킹 공격, 추적해 보니 라자루스로 귀결.
3. 이스라엘 조직이 북한의 표적 공격을 받은 건 이번이 처음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)