파이어아이 “러시아, ICS 타깃 공격 연관성 밝혀”
상태바
파이어아이 “러시아, ICS 타깃 공격 연관성 밝혀”
  • 김선애 기자
  • 승인 2018.10.30 10:19
  • 댓글 0
이 기사를 공유합니다
“러시아 정부 연구소 CNIIHM, ICS 악성코드 ‘트리톤’·사이버 첩보 조직 ‘템프벨레스’ 관련 있어”

파이어아이는 중요 기반 시설의 산업 제어 시스템(ICS)을 노리는 ‘트리톤(TRITON)’ 악성코드가 러시아 정부와 연관성이 있다고 30일 밝혔다. 트리튼은 사이버 첩보조직 템프벨레스(TEMP.Veles) 활동과 연관이 있으며, 러시아 정부 소유의 중앙화학역학과학연구소(CNIIHM)에서 공격이 일어났다고 설명했다.

파이어아이는 템프벨레스의 공격 활동을 조사하던 중 이들이 사용했을 가능성이 높은 악성코드 개발 활동을 발견했으며, 트리톤 침입 시 사용된 악성 소프트웨어 버전의 테스트가 포함돼 있는 것을 알아냈다. 이를 추적해 다수의 독립적인 활동이 러시아, CNIIHM, 러시아에 있는 특정 개인으로 이어졌으며, 해당 인물의 온라인 활동에서 CNIIHM과의 밀접한 연관성이 발견됐다.

▲UTC 시간으로 표시한 TRITON 공격자 작동 시간의 히트 맵을 보면 모스코바 오전 10시부터 오후 6시까지인 것을 알 수 있다.(이미지 출처: 파이어아이)

“러시아 소유 연구소, 공격 가능한 전문가 보유”

CNIIHM에 등록된 IP주소가 트리톤의 오픈소스 탐지, 네트워크 정찰, 트리톤 침입을 위한 악성 활동 등 템프벨레스의 다양한 목적 달성을 위해 사용됐으며, 템프벨레스의 활동에서 관찰된 행동 패턴은 CNIIHM이 위치한 모스크바의 시간대와 일치했다. 파이어아이는 CNIIHM이 트리톤의 오케스트레이션과 개발, 그리고 템프벨레스의 운영을 지원하기 위한 기관급 지식과 인력을 보유하고 있는 것으로 판단했다.

파이어아이는 템프벨레스의 활동을 조사하는 동안 이들이 공격대상의 환경에 설치한 다수의 고유한 툴을 발견했다. 해시로 일부 동일한 툴을 확인하였으며 이들은 한 유저가 악성코드 테스트 환경에서 시험한 바 있다.

CNIIHM과 연결된 테스트 활동, 악성코드 아티팩트, 악의적인 행위가 있는 가능성도 시사된다. 여러 정황상 이 활동이 러시아에서 비롯되고 있으며, CNIIHM과 관련이 있음을 암시한다.

PDB 경로가 포함된 테스트된 파일에는 고유한 아이디 또는 사용자 이름으로 보이는 문자열 포함. 해당 사용자 이름은 적어도 2011년부터 러시아 정보 보안 커뮤니티에서 활동 중인 러시아에 있는 인물로 연결됐다.

템프벨레스가 촉발한 것으로 의심되는 사고에 CNIIHM에 등록된 87.245.145.140에서 비롯한 악의적인 활동이 포함됐으며, 다수의 파일에 키릴 문자로 된 이름과 아티팩트가 포함됐다.

활동 패턴과 모스크바 시간대 일치

공격자의 행동 아티팩트는 템프벨레스 운영자들이 모스크바에서 활동할 가능성이 있다고 시사한다. 특히 이는 모스크바에 위치한 러시아계 연구 기관인 CNIIHM이 템프벨레스 활동에 연관되어 있을지 모른다는 가정에 힘을 싣는다.

파이어아이는 템프벨레스가 공격대상 네트워크에서 측면 확대를 하는 동안 생성한 수많은 파일이 만들어진 시간을 분석했다. 그 결과 이 파일들은 대체로 협정세계시보다 3시간 빠른 시간대에서 작업하는 공격자의 일반적인 작업 스케줄에 맞물리는데 이는 모스크바와 근접하다는 사실을 의미한다. 템프벨레스 툴 셋에서 복구된 추가 언어 아티팩트도 지역적 인접성과 일치하는 것이 확인됐다.

“특정 개인이 공격했을 가능성 낮아”

파이어아이는 템프벨레스가 트리톤 공격 프레임워크를 설치했다는 사실은 확인했지만, 아직까지 해당 툴 제작과 CNIIHM이 관련이 있는지는 명확하지 않다고 밝혔다. 그러나 연구소가 직접 기재한 기관 목적과 여러 공공 정보를 조합했을 때, 트리톤 개발과 프로토타입화할 수 있는 전문성을 유지하고 있다고 추론했다.

CNIIHM은 적어도 2개 이상의 주요 사회 기반 시설, 엔터프라이즈 안전, 무기/군사 장비 개발에 전문화된 연구부서를 보유하고 있다. CNIIHM은 공식적으로 러시아의 국가 기술 및 개발 기관과 협력하고 있다. CNIIHM 공식 도메인으로 링크되는 러시아의 채용 정보 웹사이트에 의하면 연구소가 컴퓨터 지원 설계와 제어를 위한 지능형 시스템과 새로운 정보 기술 개발에도 전념하고 있음을 확인했다.

또한 파이어아이는 한 명 이상의 CNIIHM 직원이 상사의 승인 없이 템프벨레스의 활동을 추진했을 가능성은 아직까지도 남아있다. 그러나 정황상 이러한 경우의 가능성이 매우 낮은 것으로 보인다.

개인 또는 적어도 CNIIHM 직원 한 명은 포함된 다수가 CNIIHM의 주소공간(address space)에서 광범위하고 위험도가 높은 악성코드 개발, 침입 활동을 CNIIHM 도 인지하지 못하고, 허가도 주지 않은 상태로 몇 년을 걸쳐 추진해야 한다는 점을 의미한다.

CNIIHM의 특성은 템프벨레스 활동을 주도하는 기관이 취할 것으로 예상되는 양상과 일치한다. 트리톤은 고도로 전문화된 프레임워크로, 매우 적은 수의 침입 운영자들의 능력으로 개발이 가능하다.

저작권자 © 데이터넷 무단전재 및 재배포 금지
김선애 기자
김선애 기자 다른기사 보기
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
주요기사