파이어아이, 트위터 이용한 러시아 사이버 위협 그룹의 해킹 과정 밝혀내

- 파이어아이의 위협 인텔리전스 팀 러시아 사이버 위협 그룹 APT29의 해킹 분석 보고서 발표
- 최첨단 멀웨어 '해머토스'의 트위터를 이용한 해킹 과정 심층 분석

2015년 8월 6일 – 지능형 사이버 공격 방어 기술의 선도업체인 파이어아이(지사장 전수홍, www.fireeye.kr)는 29일(현지시각) 러시아 해킹 그룹 APT29에 대한 내용을 밝힌 ‘해머토스: 러시아 사이버 위협 그룹의 데이터 유출 전술(HAMMERTOSS: Stealthy Tactics Define a Russian Cyber Threat Group)’이라는 인텔리전스 보고서를 발표했다.

이번 파이어아이 보고서에 따르면, APT29는 최첨단 멀웨어 툴인 해머토스(Hammertoss)를 사용하여 피해자의 정보를 빼돌리고 있는 것으로 밝혀졌다. 인텔리전스 연구진들은 이들이 정보를 빼돌리는 데 사용한 것은 트위터, 깃허브(GitHub), 클라우드 저장소 등 합법적 웹 서비스이기 때문에 피해자의 네트워크 상에서 악성코드와 합법적 트래픽을 구분하는 것이 다른 해킹공격보다 더 어렵다고 전했다.

해머토스는 매일 다른 트위터 핸들에 접속을 시도하는 알고리즘을 가지고 있었다. 트위터 핸들이란 트위터 계정과 연계된 사용자 ID이며 예를 들어 @FireEye란 트위터 핸들이 생성될 경우 https://www.twitter.com/fireeye란 트위터 계정이 만들어진다.

해머토스가 포함하고 있는 알고리즘은 매일 다른 트위터 핸들에 접속을 시도하며, APT29가 해당 트위터 핸들에 미리 작성해 놓은 URL에 접속하여 업로드 된 이미지를 다운로드했다.

해머토스가 다운로드 한 이미지는 평범해 보이지만 스테가노그라피(steganography)라는 암호화 기술을 사용하여 APT29가 삽입한 암호화된 명령이 포함돼 있으며 해머토스는 이를 복호화 하고 피해자의 데이터를 클라우드 저장소에 업로드 하라는 명령을 실행한다.

파이어아이 인텔리전스 팀은 APT29 해킹 그룹이 2014년부터 활동했으며, 이들이 해킹을 통해 수집하는 정보내용을 토대로 볼 때 러시아 정부의 지원을 받고 있을 것으로 추정했다. 또한 이들은 러시아 공휴일에 활동하지 않았을 뿐 아니라 주로 활동한 시간을 협정세계시(UTC) 기준으로 추정해 볼 때 모스크바나 상트페테르부르크인 것을 확인할 수 있었다.

파이어아이의 박성수 멀웨어 분석가는 “APT29의 해머토스 몰웨어는 트위터 핸들을 순환시키는 알고리즘과 이미지에 암호화 된 명령정보 삽입기술을 사용하는 등 다양한 해킹 기술을 접목했다”며 “기존에 존재했던 멀웨어의 기능들을 모두 조합하여 피해자의 네트워크에서 악성코드를 탐지하기 어려운 것이 특징이다”라고 설명했다.

###

파이어아이에 대하여
파이어아이는 사이버 공격 방어에 특화된 가상 머신(MVX) 기반의 보안 플랫폼을 개발한 보안솔루션 업체로, 지능형 지속위협(APT), 제로데이와 같이 기업과 정부 기관을 대상으로 발생하는 차세대 위협에 대응하는 실시간 위협 탐지 보안 솔루션을 제공하고 있다. 파이어아이의 보안 솔루션은 시그니처 기반의 방화벽, IPS, 안티바이러스 및 웹 게이트웨이가 탐지 할 수 없는 제로데이 공격이나 변종 공격을 행위 기반 분석을 통해 효율적으로 탐지하고 차단한다. 파이어아이의 위협 차단 플랫폼은 위협으로부터의 보호를 위해 시그니처 사용 없이 주요 위협 벡터 및 각기 다른 단계의 공격 실행 주기에 걸친 실시간의 역동적인 위협 방어 솔루션을 제공한다. 파이어아이 플랫폼의 핵심은 사이버 공격을 실시간으로 차단하기 위해 역동적인 위협 인텔리전스에 의해 보완된 가상 실행 엔진이다. 파이어아이의 솔루션은 전세계 67개 국가에 걸쳐 포춘 선정 글로벌 기업 200개 기업을 포함한 3,100개 기업에서 사용 중이다. 보다 자세한 사항은 http://www.fireeye.kr 에서 확인 할 수 있다.

 

자료 문의

파이어아이 코리아         이상도 이사  / 02-559-0730 / sangdo.lee@fireeye.com

민커뮤니케이션              대표메일 fireeye@mincomm.com

                                       정민아 실장 / 010-6282-0677 / mina@mincomm.com

                                        이라온 과장 / 010-2803-1339 / raon@mincomm.com

                                        민초롱 대리 / 010-2845-0625 / chorong@mincomm.com