카스퍼스키랩, 아시아 기업 경영진에 ‘다크호텔 APT’ 공격 경고
카스퍼스키랩, 아시아 기업 경영진에 ‘다크호텔 APT’ 공격 경고
  • 김문구 기자
  • 승인 2014.10.15 15:40
  • 댓글 0
이 기사를 공유합니다

한국, 일본, 대만, 중국 및 러시아에서 90% 이상의 다크호텔 공격 감염 피해자 발생

보안 및 위협 관리 솔루션 분야의 선두주자 카스퍼스키랩코리아(지사장 이창훈, www.kaspersky.co.kr)는 아시아의 고급호텔에 머물고 있는 특정 기업 경영진들을 대상으로 한 ‘다크호텔’ 스파이 공격이 자행되고 있다고 밝혔다.

이 공격은 장기간 호텔 외부에서 기밀 정보를 추적할 수 있는 진화된 수법으로 수많은 기기를 통해 지난 수 년 동안 전세계적으로 확산됐으며, 한국, 일본, 대만, 중국 및 러시아에서 90% 이상의 피해자가 발생한 것으로 나타났다. 그 외 발생 국가로는 독일, 미국, 인도네시아 및 아일랜드가 있다.

일반적으로 비즈니스 여행객들은 출장을 가서 호텔에 머무는 동안 와이파이 네트워크에 접속하기 위해 이름과 객실 번호를 입력한다. 이 점을 악용해 공격자들이 공격 대상을 식별하고, 민감한 정보를 탈취하는 백도어의 설치를 유도하는 수법을 사용했다.

호텔 공격 방법

▶ 기업 경영진들이 호텔 와이파이(Wi-Fi) 네트워크에 접속하면 구글 툴바, 어도비 플래시 또는 윈도우 메신저 등의 유명 소프트웨어의 업데이트를 요구하는 가짜 팝업 창이 나타난다. 이 때 기업 경영진들이 이를 설치하면, 다크호텔 지능형 지속공격(APT)용 백도어 악성 코드가 설치된다.

▶ 백도어는 디지털 서명이 된 고급 키로거 프로그램과 일명 ‘카르바(Karba)’ 트로이목마 및 기타 정보 탈취 모듈로 구성된 툴 세트이다. 이들 툴을 사용해 시스템과 관련된 각종 데이터와 악성코드 차단 소프트웨어 정보를 수집하며, 파이어폭스, 크롬 및 인터넷 익스플로러에 저장된 암호 정보, 지메일 알리미, 트위터, 페이스북, 야후 및 구글 로그인 정보 및 기타 개인 정보를 추적한다.

이렇듯 이번 ‘다크호텔’ 공격은 매우 정확하게 목표를 선별할 수 있어 피해자가 높은 수준의 보안 위험에 처할 수 있다.

다크호텔 공격툴 유포

다크호텔 공격자들은 아시아 지역의 호텔에 있는 기업 경영진들을 감시할 뿐 아니라 P2P/파일 공유 네트워크를 활용한 악성 코드 배포 및 특정 조직 대상의 정밀 피싱(spearphishing) 이메일으로도 목표로 한 피해자들을 공격한다.

▶ 카스퍼스키랩의 전문가들은 방위 및 산업 업체, 정부기관, 대규모 전자제품 제조업체, 제약회사 등 가치 있는 정보를 지닌 기업을 목표로 한 동일 공격자에 의해 진행된 사건을 조사했다. 이 공격들은 완벽하게 위장된 다크호텔 공격과 함께 전형적인 스피어 피싱으로 이뤄졌다. 이메일-미끼(Email-lure) 콘텐츠는 흔히 핵 에너지와 무기 기능과 같은 주제를 포함한다. 지난 수 년 동안 스피어피싱 이메일은 어도비의 제로데이 익스플로잇을 첨부하거나 인터넷 익스플로러 제로데이 익스플로잇으로 공격 대상을 유도하는 웹사이트 링크를 걸었다.

▶ 공격자는 한 번에 수 많은 파일 배포가 가능한 토렌트 P2P 공유 네트워크를 통해 애니메이션 포르노 동영상으로 위장한 악성 코드를 널리 배포한다. 일부 호텔 비즈니스 센터 사용자들은 이와 같은 토렌트 등의 여러 배포 수법에 쉽게 걸려드는 것으로 나타났다. 일단 배포된 백도어를 통해 피해자의 중요도를 확인한 후 추가적인 공격 툴을 다운로드 하도록 하며 이를 통해 공격자들이 가치 있는 정보에 접근할 수 있도록 지원한다.

다크호텔 APT 공격 배후

한국어를 구사하는 공격자를 암시하는 일련의 악성 코드 흔적을 남겼으나 이를 통해 공격 배후가 누구인지 정의하기는 어렵다.

커트 바움가트너(Kurt Baumgartner) 카스퍼스키랩 수석 보안 연구원은 “지난 7년동안 다크호텔로 명명된 강력한 공격자는 전형적인 사이버 범죄 행위를 넘어서는 방법과 기술을 사용해 전 세계를 대상으로 수 많은 공격을 성공적으로 진행해왔다. 다크호텔은 인프라 운영 능력과 수학적이며 암호화된 강력한 기능을 갖추고 있으며, 신뢰 가능한 상용 네트워크를 악용하고 전략적으로 특정 피해자를 분류할 수 있는 충분한 여러 자원들을 보유하고 있다. 또한, 공격자는 수 년 동안 이를 운영할 자원이 있고, 필요 시 제로데이 공격을 사용한다”고 말했다.


다크호텔의 악위적인 행위는 고도의 타겟 공격인 동시에 악성 코드의 무분별한 확산이다. 그 예로, APT 공격자은 카르바 트로이목마 바이러스를 .rar 압축 파일의 일부로 비트토렌토(BitTorrent)를 통해 대량으로 퍼뜨린다. 또한, 저비용의 인프라로 제로데이 공격과 고급 키로거가 포함된 잘 개발된 툴을 지원한다.

커트 바움가트너 수석 보안 연구원은 또한 “우리는 장기간 계속돼 온 APT와 수 많은 보고되지 않은 공격들이 일상적으로 발생되는 것을 보아 왔다. 이러한 타깃화되고 무분별한 두 공격의 결합은 보다 일반적인 APT 모습이 될 것”이라고 덧붙였다.

다크호텔 공격 차단 방법

호텔 또는 비즈니스 센터에서 공용 네트워크를 사용하는 것은 잠재적으로 위험한 행동임을 인지하고 있어야 한다. 다크호텔 사례는 공격 수법의 진화를 보여주는 일례로 가치 있는 정보를 지닌 개인은 다크호텔 공격과 유사한 위험에 쉽게 빠질 수 있다. 이를 방지하기 위한 몇 가지 주의사항은 다음과 같다.

▶ 공용 와이파이 인터넷에 접속할 때, 신뢰하는 VPN에 연결한다.
▶ 발신지 속임 등 피싱 이메일 공격을 구별하는 방법에 대해 교육받는다.
▶ 모든 소프트웨어를 최신 버전으로 관리하고 업데이트한다.
▶ P2P 네트워크에서 다운받은 실행 파일은 함부로 클릭하지 않는다.
▶ 여행지에서는 소프트웨어 업데이트를 자제한다.
▶ 기본 악성 코드 차단 기능은 물론 능동적인 방어 기능을 제공하는 높은 품질의 인터넷 보안 소프트웨어를 설치한다.

탐지 현황

카스퍼스키랩의 제품들은 다크호텔 공격툴에서 사용되는 악성 코드 및 그 변종을 탐지하고 치료한다. 다크호텔 툴킷에는 Exploit.SWF.Agent.gen, Exploit.MSPPoint.Agent.y, Exploit.Win32.CVE-2010-2883.a, Trojan-Downloader.Win32.Small.kwk, Trojan-Spy.Win32.Agent.cjuj, Trojan-Dropper.Win32.Agent.buxs, Trojan.Win32.Karba.e 및 Virus.Win32.Pioneer.dx가 있다.

다크호텔 APT에 관한 보고서 전문은 카스퍼스키랩의 보안 전문 포털인 Securelist.com에서 확인 가능하다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.