“합법적 SW로 판매되는 핀피셔…독재정권에서 사용됐을 정황 탐지”
스파이웨어 핀피셔(FinFisher)가 국가간 스파이 활동에 사용됐을 것으로 의심되는 정황이 포착됐다.
유럽 엔드포인트 보안 전문기업 이셋은 25일 핀피셔 활동에 대한 분석 보고서를 발표하면서 “핀피셔는 합법적인 도구로 판매되고 있으며, 독재정권에서도 사용된 것으로 의심된다. 최근 7개국에서 핀피셔 변종을 발견했지만, 국가명을 공개하기는 어렵다”고 밝혔다.
이셋이 발견한 핀피셔 변종은 웹캠과 마이크를 통한 실시간 촬영과 도청, 키 로깅, 데이터 유출 등의 스파이 기능을 포함하고 있다. 이셋은 핀피셔 배포에 주요 ISP의 개입을 의심할 수 있는 감염 벡터가 사용된다고 밝혔으며, 이 스파이웨어가 전 세계 공공기관과 산하기관에 판매되고 있다고 설명했다.
핀피셔는 스피어피싱, 수동 설치, 제로데이 익스플로잇, 워터링 홀 공격 등 다양한 감염 메커니즘을 사용하며, ISP 수준의 맨인더미들 공격을 사용하는 것이 2개 국가에서 포착됐다.
핀피셔는 왓츠앱, 스카이프, 어베스트, 윈RAR, VLC 플레이어 등의 애플리케이션 다운로드를 이용하는데, 사실상 인터넷에서 내려받을 수 있는 모든 애플리케이션을 이용할 수 있다고 이셋은 설명했다.
사용자가 검색 포털에서 애플리케이션을 검색하고 다운로드 링크를 클릭하면, 악성링크로 리다이렉션돼 공격자 서버를 통해 트로이 목마 설치 패키지가 다운로드된다. 이를 실행하면 정상적인 애플리케이션과 핀피셔가 설치된다. 핀피셔는 안티샌드박스, 안티 디버깅, 안티 가상화, 안티 에뮬레이션 트릭을 포함하고 있다.
저작권자 © 데이터넷 무단전재 및 재배포 금지
