시만텍은 조직적으로 다수의 구 동유럽 국가의 정부와 대사관을 겨냥한 대규모 사이버스파이 활동이 포착되었다고 밝혔다.
이번 공격에는 ‘윕봇(Wipbot)’과 ‘툴라(Turla)’라는 멀웨어가 사용된 것으로 확인되었다. 공격단체는 사이버 정찰 활동을 위해 트로이목마 윕봇(Trojan.Wipbot, 또는 타브딕(Tavdig))을 백도어로 사용했으며, 이후 트로이목마 ‘툴라(Trojan.Turla)’를 이용해 장기간 모니터링을 해온 것으로 나타났다. 트로이목마 ‘툴라’는 우로보로스(Uroboros), 스네이크(Snake), 카본(Carbon)이라고도 불리고 있다.
분석에 따르면, 공격단체는 최소 4년 이상 사이버스파이 활동을 해온 것으로 보이며, 타깃 대상과 고난도의 멀웨어가 사용된 점을 미루어 볼 때 시만텍은 이번 공격의 배후에 국가 차원에서 후원을 받는 조직이 있는 것으로 보여진다고 밝혔다.
‘툴라’는 공격자에게 강력한 스파이 기능을 제공하며, 컴퓨터를 시작할 때마다 실행되도록 설정되어 있어 사용자가 웹브라우저를 여는 즉시 공격자와 통신이 가능한 백도어를 실행한다. 이 백도어를 통해서 공격자는 감염 시스템으로부터 파일 복사, 서버 접속, 파일 삭제 및 다양한 형태의 악성코드를 탑재하고 실행이 가능하다.
‘툴라’의 배후에 있는 단체는 스피어피싱(spear phishing) 이메일과 워터링홀(watering hole) 공격 기법을 이용해 피해자를 감염시키는 이중 공격 전략을 취하고 있는 것으로 나타났다.
- 피해 기관
초기에는 감염 피해가 유럽 국가들에서 확산된 것으로 보였으나, 보다 면밀한 분석 결과 서유럽의 많은 감염이 구 동유럽 국가들의 민간 정부 네트워크에 연결된 컴퓨터들에서 발생한 것으로 밝혀졌다. 감염은 이 국가들의 대사관을 통해 발생한 것으로 나타났다.
감염을 분석한 결과, 공격단체들은 소수의 국가에 집중 공격을 펼쳤다. 실제로 2012년 5월, 구소련 회원 국가의 국무총리실이 감염된 후, 빠르게 번져 총리실 내 최대 60대의 컴퓨터가 감염되었다.
2012년 말, 프랑스에 있는 또 다른 구 소련 회원국의 대사관이 감염되었다. 2013년에는 감염이 해당 국가의 외무부 네트워크에 연결된 다른 컴퓨터로 확산되기 시작했으며, 내무부에서도 감염이 발생했다. 추가 조사를 통해 외교부를 타깃으로 한 조직적인 스파이 활동이 드러났다. 감염은 벨기에와 우크라이나, 중국, 요르단, 그리스, 카자흐스탄, 아르메니아, 폴란드, 독일 대사관에서 발견되었다.
그 외 역내 최소 5개국이 유사 공격의 표적이 되었다. 공격단체들은 대체적으로 동유럽 국가들을 집중 공격했지만 그 외 지역에도 여러 타깃들이 존재했다. 서유럽 국가의 보건복지부를 비롯해 중앙아메리카의 교육부, 중동지역의 전력당국(state electrical authority)과 미국의 한 의료 기관도 포함되어 있다.
- 공격 경로
이 공격단체는 스피어피싱 메일과 워터링홀 공격기법을 사용했다. 스피어피싱 메일 중 일부는 발신자를 중동 대사관 소속 육군 무관으로 사칭했으며 회의 의사록을 가장한 파일이 첨부되었다. 사용자가 이 파일을 여는 순간 트로이목마 ‘윕봇’이 사용자의 컴퓨터에 설치 된다. ‘윕봇’은 ‘툴라’와 코드 및 구조면에서 다양한 유사점을 갖고 있기 때문에 ‘툴라’가 전달 메커니즘으로 사용되었을 것으로 보인다.
2012년 9월 이후, 공격자 단체는 워터링홀 공격을 용이하게 하기 위해 각 정부와 국제 기구가 운영하고 있는 84개 이상의 합법적 웹사이트를 해킹했다. 해당 사이트 방문자들은 ‘핑거프린팅(fingerprinting)’ 스크립트가 실행되는 웹 서버로 리다이렉션(redirection) 되어 방문자 컴퓨터로부터 여러 식별 정보가 수집된 것으로 분석되었다. 이 단계에서 공격단체는 사용자가 어떤 브라우저와 플러그인을 사용했는지에 대한 정보를 수집해 가장 효과적인 취약점을 이용한 공격 방법을 찾아냈다.
공격단체는 이후 서버를 통해 목표 대상과 연결된 IP 주소에만 윕봇을 침투시켰다. 이 멀웨어는 쇼크웨이브(Shockwave) 설치 프로그램으로 위장해 감염된 컴퓨터에 대한 더 많은 정보를 수집했다. 공격자가 목표 대상일 경우, 두 번째로 백도어 트로이목마 ‘툴라’가 설치되도록 하여, 이를 통해 피해자의 컴퓨터에 장기간 머무르며 스파이활동을 하게 된다.
시만텍은 다년간 ‘툴라’의 배후 단체의 활동을 추적해왔다. 공격단체가 밝혀지진 않았지만, 대부분의 해킹이 세계표준시(UTC) 4 시간대의 표준 업무시간에 발생한 것으로 나타났다.
‘툴라’는 2004년 활동했던 과거 멀웨어의 하나인 트로이목마 ‘미니트(Trojan.Minit)’가 진화한 것으로, 이번 공격은 다양한 방어망을 뚫을 수 있는 풍부한 자원력과 높은 기술력을 가진 공격 단체의 소행으로 보인다. 이들은 국가와 같은 타깃을 대상으로 민감한 정보의 스파이 활동 및 탈취에 집중하고 있다.