미국산 상업 소프트웨어가 유럽과 이스라엘의 군사 목표 해킹에 사용됨

Table Of Contents

• 유럽과 이스라엘을 겨냥한 국가 해킹 캠페인에 미국산 상업 소프트웨어 사용
• 다른 접근 방식
• 로켓 키튼
• 주요 용의자로서의 이란

유럽과 이스라엘을 겨냥한 국가 해킹 캠페인에 미국산 상업 소프트웨어 사용

이스라엘과 유럽 내 군사 목표를 겨냥한 해킹 캠페인이 최근 밝혀졌으며, 이 발견의 연구자들은 공격이 상업적으로 이용 가능한 소프트웨어를 사용했다고 믿고 있습니다. CrowdStrike와 스타트업 Cymmetria의 연구자들은 토요일 함부르크에서 열리는 연례 Chaos Communication Congress 보안 회의에서 그들의 이례적인 발견을 발표할 예정입니다.

다른 접근 방식

범죄 공격자들은 꽤 오랫동안 Metasploit과 같은 상업적으로 이용 가능한 도구를 사용해왔습니다. 그러나 국가 행위자들은 일반적으로 고객에게 추적될 수 있다는 두려움 때문에 상업 소프트웨어 사용을 피합니다. 국가들은 보안을 강화하고 독립성을 높이기 위해 대부분의 목적에 대해 특별히 작성된 소프트웨어를 사용합니다. 그러나 이번 공격은 보안 테스트 도구를 잘못 사용하여 새로운 접근 방식을 취했습니다. 이 도구는 보스턴에 본사를 둔 Core Security에서 개발했습니다. Core Security는 고객이 자신의 보안 메커니즘을 테스트하고자 할 때 제품을 판매합니다.

주요 정부 후원 해킹은 특별히 작성된 도구와 무료로 널리 사용 가능한 프로그램으로 보완됩니다. 이는 상업 프로그램이 특정 고객에게 추적될 수 있기 때문입니다. 그러나 특정 맞춤형 도구에 대한 의존은 연구자들이 특정 기관으로 공격을 좁힐 수 있게 해주었습니다. 그러나 Core Security 프로그램을 사용하는 것은 이야기에 새로운 반전을 추가합니다.

Core Security 프로그램을 사용하면 일반적으로 $10,000 또는 $20,000의 비용이 드는 이 프로그램은 상황을 혼란스럽게 할 수 있으며, CrowdStrike 분석가 Tillmann Werner는 이 프로그램이 2차 사이버 강국이 중국, 러시아 및 미국이 자주 수행하는 작업의 일부를 건너뛰는 데 도움이 될 수 있다고 말했습니다. “가장 가능성이 높은 대답은 그들이 스스로 할 수 있는 능력이 없었다는 것입니다.”라고 해커들에 대해 Werner는 말하며 “도구 자국을 남길 위험이 없다”고 덧붙였습니다.

로켓 키튼

Werner와 Cymmetria의 CEO인 Gadi Evron은 이스라엘 CERT의 의장도 맡고 있으며, 이 캠페인의 배후가 누구인지 알지 못한다고 말했습니다. 그러나 피해자의 증거를 바탕으로 연구자들은 공격이 이란에 의해 후원되었을 가능성이 있다고 느끼고 있습니다. Evron은 그들이 4월까지 거슬러 올라가는 공격을 감지했다고 밝혔습니다. 이러한 공격에는 방위 및 항공 우주 산업과 인접한 이스라엘 회사, 이스라엘 학술 기관, 독일어를 사용하는 방위 기관, 동유럽 방위부에 대한 공격이 포함됩니다. 현재로서는 이스라엘에 기반한 목표에 대한 공격이 실패했다는 정보 외에는 다른 정보가 없습니다.

CrowdStrike는 이 해킹 캠페인을 ‘로켓 키튼’이라고 명명했으며, 이는 모든 의심되는 이란 사이버 공격 그룹을 키튼으로 명명하는 관례에 따른 것입니다. 이 공격은 목표의 경영진에게 발송된 감염된 Excel 시트를 기반으로 했습니다. 이메일은 Excel 스프레드시트 내에서 매크로 프로그램을 실행할 수 있는 권한을 요청했습니다. 매크로는 특정 작업을 수행하도록 프로그래밍된 작은 자동화 프로그램입니다.

그러나 이 경우 매크로는 운반 악성코드 페이로드를 포함하고 있었습니다. 목표 회사의 경영진이 매크로를 실행하면, 운반 악성코드는 Core의 Core Impact Tool의 다른 구성 요소를 다운로드하고 이들 기계의 서버에 설치합니다. Core의 Core Impact Tool의 기능 중 하나는 탐지에서 숨길 수 있는 은폐 능력입니다.

Core의 라이센스 조건은 무고한 제3자에 대한 프로그램 사용을 금지하며, Core의 엔지니어링 부사장 Flavio de Cristofaro는 회사가 최소 5년 동안 이러한 오용에 대해 듣지 못했다고 말했습니다. De Cristofaro는 CERT의 요청이 있을 경우 회사가 지원할 것이며, 어떤 경우에도 소프트웨어가 물자국 및 기타 기술적 제한에서 어떻게 벗어났는지 추적하려고 할 것이라고 말했습니다.

“우리는 그것을 추적할 것입니다.”라고 De Cristofaro는 말했습니다.

주요 용의자로서의 이란

미국과 이스라엘이 Stuxnet 바이러스를 통해 이란의 핵 프로그램을 공격한 혐의 이후, 이란은 사이버 전쟁 능력을 강화하고 있다고 전해집니다. Stuxnet 바이러스는 이란의 자주적인 핵 프로그램에 특히 불안정을 초래했으며, 이란이 비확산 문제에 대해 서방 강대국들과 협상 테이블에 나서게 된 이유 중 하나입니다. 이전에 이란 기반 해커들은 라스베가스 샌즈 코퍼레이션에 대한 해킹 작전을 성공적으로 수행하여 미국 기반 카지노 운영자의 네트워크를 사실상 중단시켰습니다. 이 공격은 샌즈 코퍼레이션의 소유자가 이란이 핵 분열 물질을 확산하는 것을 막기 위해 미국 군대에 이란을 핵폭격하라고 요청했기 때문에 이루어졌습니다. 해당 해킹 공격에 대한 조사에서는 이란 국가와의 연관성을 찾지 못했지만, 이란이 사이버 전쟁 기술에서 매우 자원ful한 국가라는 사실을 부인하지는 않습니다.

Resource : Chicago Tribune.