러시아 사이버스파이 그룹, 간단하고 효과적인 리눅스 트로이목마 사용

APTFilter CERT-LatestNews Malware Security News SocialEngineering ThreatsActivists ThreatsCybercrime ThreatsEconomic ThreatsStrategic

폰 스톰(Pawn Storm)으로 알려진 러시아 기반의 사이버스파이 그룹은 특권 접속(privileged access)이 필요없는 트로이목마 프로그램을 통해 간단하지만 아주 효과적으로 리눅스 시스템들을 감염시키고 있다.

APT28, 세드닛(Sednit) 또는 소파시(Sofacy) 등으로 알려진 폰 스톰은 최소 2007년부터 활동 중이다. 지난 수년간 이 공격 그룹은 NATO 회원국의 정부기관과 보안 및 군사 조직, 방산 업체, 미디어 조직, 우크라이나 정치 활동가와 크렘린 비판자(러시아 반체제 인사)들과 같은 곳을 표적으로 공격하고 있다.

이 그룹은 알려지지 않은 취약점을 악용하는, 이른바 제로데이 익스플로잇을 사용하는 것으로 알려져 있다. 또한 악의적인 첨부파일을 동봉한 스피어피싱 이메일과 같은 다른 침투 기술들과 함께 사용한다.

이들의 자체 기본적인 툴은 세드닛이라는 윈도우 백도어 프로그램이지만 맥 OS X, 리눅스, 그리고 모바일 운영체제용 악성코드 프로그램도 사용한다.

팔로알토 네트웍스 연구원들에 따르면, 이들이 선호하는 리눅스용 악성코드 툴은 파이스비스(Fysbis)라 부르는 모듈러 아키텍처를 가진 트로이목마 프로그램이다. 팔로알토 연구원들은 지난 12일 한 블로그에 “파이스비스는 특권없이도 스스로를 피해자 시스템에 설치할 수 있다. 이는 공격자의 공격 옵션이 증가한다는 것을 의미한다”고 게재했다.

사이버스파이 툴인 파이스비스는 기본적으로 데이터 절취용으로 설계되어 있다. 예를 들어 전체 시스템 제어권한을 획득하지 않은 채, 사용자가 접속하는 민감한 문서들을 탈취하거나 사용자의 웹 브라우저와 다른 활동들을 몰래 지켜보는 등의 기본적인 목표를 달성할 수 있다.

팔로알토 연구원들은 “파이스비스는 APT(Advanced Persistent Threat) 공격자들이 그들의 목표물에 도달하는데 최첨단 수단을 사용할 필요가 없다는 것을 보여준다”고 말했다.

이 연구원들은 “리눅스가 본질적으로 악의적인 자들로부터 높은 수준으로 보호해준다는 것은 잘못된 정보다. 리눅스 악성코드와 취약점은 존재하며 뛰어난 공격자에 의해 버젓이 사용되고 있다”고 말했다.

윈도우가 지배적인 기업환경에서 사실 리눅스 악성코드는 가시성과 훈련 부족으로 인해 좀더 탐지가 어려울지 모른다. 이는 조직들이 윈도우 시스템을 지원하고 보호하는 것에 초점을 맞추기 때문이다.

이런 상황은 공격 그룹들이 활동 동기가 첩보활동이든, 전통적인 사이버범죄든 왜 최근 수년동안 자신들의 무기에 리눅스 트로이목마를 추가하는 지 설명해준다. editor@itworld.co.kr

http://www.itworld.co.kr/news/97864