러시아 사이버 범죄 그룹이 유럽·중동의 호텔에 투숙하는 주요 인사를 통해 기밀정보를 유출하는 ‘다크호텔(Darkhotel)’ 범죄를 저지르고 있는 것으로 나타났다. 다크호텔은 중요한 회의가 개최되는 아시아 지역의 유명 호텔을 대상으로 공격이 진행됐으며, 이 공격이 중동 지역까지 확대된 것으로 보인다.
다크호텔은 주요 인사가 호텔에 체크인 한 후 호텔 와이파이를 통해 인터넷에 접속하려고 할 때 정상적인 소프트웨어 업데이트 프로그램으로 가장해 악성코드를 감염시키는 공격이다. 카스퍼스키랩이 2014년 발표한 보고서에서는 이 공격은 오랜 기간 동안 호텔 외부에서 기밀 정보를 추적하는 수법으로 이용됐으며, 기업 경영진이나 정·재계 중요 인사들이 주로 이용하는 고급 호텔 기업을 통해 공격이 진행된다.
카스퍼스키랩은 당시 아시아 지역 호텔이 주요 타깃이라고 발표했는데, 이번에는 파이어아이가 중동지역을 중심으로 러시아 해커들이 이 공격을 확대하고 있다고 분석했다.
파이어아이는 최근 ‘APT28’ 해커그룹 공격 분석 보고서를 통해 7월 초 7개의 유럽 국가와 하나의 중동 국가에 위치한 다수의 호텔 기업에 피싱 이메일로 전송 된 악의적 문서파일을 포착했다고 밝혔다.
다크호텔은 개인정보를 훔치기 위해 불안정한 호텔 와이파이 네트워크를 활용하고, 공격자의 권한을 상승시키기 위해 넷바이오스 네임 서비스 공격 유틸리티를 이용한다. 다크호텔이 감염 경로를 확대하며 APT28의 광범위한 기술과 전략은 점점 더 정제되고 발전하고 있으며, 공공 와이파이는 심각한 위협을 안고 있는 만큼, 가능한 사용을 피해야 한다고 경고했다.
이터널블루 취약점으로 공격 확산
파이어아이 보고서에 따르면 APT 28은 와이파이 트래픽에서 비밀번호를 알아내거나 넷바이오스(NetBIOS) 네임 서비스(Name Service)를 공격하고 이터널블루(Eternal Blue) 익스플로잇을 통해 공격을 확산시키는 등 여러 가지 눈에 띄는 기술을 사용하고 있다.
이메일로 전송되는 악의적 문서파일의 매크로가 성공적으로 실행되는 경우, APT28 대표적인 악성코드인 게임피쉬(GAMEFISH)가 설치된다. APT28은 여행객들을 대상으로 악성코드를 네트워크에 확산시키기 위해 이터널블루 익스플로잇과 오픈소스 툴 리스폰더(Responder)등 새로운 기술을 사용하고 있다.
APT28은 호텔의 네트워크에 침임 후 투숙객 및 호텔 내부 와이파이 네트워크를 제어하는 기기를 찾아낸다. 이번 공격을 받은 호텔에서는 고객 정보가 유출되지 않았지만 지난 2016년 가을에 있었던 공격의 경우, APT28이 호텔 와이파이 네트워크에서 유출된 것으로 보이는 개인 정보를 통해 피해자의 네트워크에 처음 접근한 것으로 밝혀졌다.
APT28은 기업 및 고객 와이파이 네트워크에 연결된 기기를 통해 리스폰더를 배포한다. 리스폰더는 넷바이오스 네임 서비스(NBT-NS) 공격을 용이하게 하는 역할을 맡는다. 이 기술은 네트워크 리소스와의 연결을 시도하기 위해 피해자의 컴퓨터에서 넷바이오스 네임 서비스를 살핀다. 그 후, 리스폰더는 발견된 네트워크 리소스로 위장해 피해자의 컴퓨터가 아이디와 비밀번호를 공격자의 기기로 보내게 만든다.
2016년 공격의 경우, 호텔 와이파이 네트워크와의 연결을 통해 피해자의 정보가 노출됐다. 피해자가 공공 와이파이 네트워크에 처음 접속한 지 12시간 만에 APT28은 유출 된 정보로 기기에 접속할 수 있었다.
이 12시간은 오프라인에서 비밀번호를 해제하는 데 쓰였을 것으로 예상된다. 성공적으로 기기에 접속한 뒤, 공격자는 기기에 툴을 배포하고 피해자의 네트워크를 이용해 침입을 확산시켰으며 피해자의 OWA 계정에 접근했다. 최초 로그인은 동일한 서브넷(subnet)에서 확인됐으며, 이는 공격자의 기기가 물리적으로 피해자와의 와이파이 네트워크와 가까이에 있었다는 것을 의미한다.
전수홍 파이어아이 코리아 지사장은 “APT28은 불안정한 호텔 와이파이 네트워크를 새로운 감염 매개로 이용하고 있다. 이로 인해, 피싱 이메일을 열거나 특정 웹사이트를 방문하지도 않았으며 단지 와이파이를 사용한 많은 호텔 투숙객들이 피해를 보았다”며 “여행객들은 해외 여행 중 발생 가능한 위협을 충분히 인식하고 데이터와 시스템 보안을 위해 추가적인 주의를 기울여야 한다. 또한, 사이버 공격이 더 정교해지고 발전됨에 따라 불안정한 와이파이 네트워크를 가진 호텔 업계는 반드시 적절한 보안 시스템을 도입해 네트워크 가시성과 함께 인텔리전스 보안 역량을 확보해야 한다”고 말했다.
