이탈리아 해킹팀의 스파이웨어 제작툴이 해킹으로 유출된 후 이 해킹툴을 활용해 더욱 고도화된 사이버 공격이 발생할 것이라는 예상이 점차 현실로 나타나고 있다. 카스퍼스키랩이 11일 발표한 보고서에 따르면 타깃 사용자가 투숙하는 호텔의 인터넷 망을 이용하는 ‘다크호텔(Darkhotel)’ 공격이 해킹팀의 제로데이 취약점을 이용했다는 사실이 드러났다.
보고서에 따르면 해킹팀은 어도비 플래시 플레이어, 윈도우 OS 취약점을 겨냥한 익스플로잇 공격을 진행했는데, 7월 5일 해킹팀 자료가 유출된 직후부터 다크호텔 공격이 해킹팀 자료의 제로데이 취약점을 이용한 것으로 분석됐다.
다크호텔은 호텔의 와이파이 네트워크를 통해 진행하는 공격으로, 주요 기업의 임원이나 고위 공직자 등이 주로 사용하는 고급 호텔에서 발생한다. 타깃 사용자가 호텔에 투숙해 인터넷 연결을 위해 로그인을 하면 플래시 업데이트 등 합법적인 소프트웨어 업데이트 안내로 위장한 메시지를 띄운 후, 사용자가 업데이트를 승인하면 악성코드를 내려받도록 하는 공격이다.
카스퍼스키랩은 다크호텔이 해킹팀의 고객이었는지 여부는 알려지지 않았지만, 해킹팀의 자료가 해킹당해 공개적으로 드러나자 이를 이용한 것으로 추측했다.
해킹팀 해킹사고는 공격자들에게 ‘기회’
다크호텔은 지난 수년간 6건 이상의 플래시 플레이어를 대상으로 제로데이 공격을 진행한 것으로 추정된다. 올해는 다크호텔 단체가 한국, 북한, 러시아, 일본, 방글라데시, 태국, 인도, 모잠비크, 독일을 대상으로 스피어피싱 공격을 지속적으로 감행하고 있으며 그 지역 범위를 점점 넓혀가고 있다.
카스퍼스키랩에서는 약 8년 동안 활동해 온 APT 스파이 단체인 다크호텔의 새로운 활동과 기술을 공개했다. 지난해까지 다크호텔은 탈취한 코드 사인 인증서를 도용하고 보기 드물게 호텔 와이파이에 침투해 공격 대상(기업 임원 등)의 컴퓨터에 스파이 툴을 설치하는 방법을 사용해왔다.
올해에도 이러한 기법과 활동은 여전히 많이 사용되고 있지만 이번 카스퍼스키랩의 조사 결과, 다양한 신종 악성 코드, 지속적인 인증서 도용, 끈질긴 사회 공학적 기법, 그리고 해킹팀이 사용한 제로데이 취약점 활용과 같은 공격 방식이 추가로 드러났다.
▲지속적인 인증서 도용: 다크호텔은 탈취한 인증서를 비축하는 것으로 보이며, 탈취한 인증서로 서명된 다운로더와 백도어를 배포하여 안전한 파일로 가장한 후 공격 대상자를 속이고 침투한다. 최근 폐기된 인증서 중 Xuchang Hongguang Technology Co. Ltd.도 포함돼 있는데 이전 공격을 수행할 때 다크호텔이 이용한 것으로 밝혀졌다.
▲끈질긴 스피어피싱: 다크호텔 APT는 집요하다. 만약 공격 대상에 대한 피싱 공격이 실패했더라도 수 개월 후에 다시 사회공학적 피싱 공격을 시도한다.
▲해킹팀의 제로데이 취약점 배포: 공격을 받은 웹 사이트 중 하나인 tisone360.com는 수많은 백도어와 취약점에 노출돼 있다. 가장 관심을 끄는 것은 해킹팀의 플래시 제로데이 취약점이다.
카스퍼스키랩 관계자는 “다크호텔은 취약한 웹사이트에서 호스팅되는 새로운 어도비 플래시 플레이어취약점을 이용해 다시 나타났다. 이번에는 해킹팀에서 유출된 취약점을 활용한 것으로 보인다. 다크호텔은 이미 동일한 웹사이트에 여러 가지 플래시 익스플로잇 공격을 자행한 경력이 있으며 이에 대해 카스퍼스키랩에서 2014년 1월 ‘어도비에 대한 제로데이 공격’으로 발표한 바 있다”고 설명했다.
이 관계자는 “다크호텔은 지난 몇 년 간 비축된 플래시 제로데이 및 하프데이 취약점을 사용하고 있는 것으로 보이며, 세계 각국의 고위 인사들을 대상으로 정교한 공격을 감행하기 위해 더 많은 취약점들을 보유했을 수 있다. 이전의 공격에서 다크호텔은 CEO, 상무, 영업 및 마케팅 부장, R&D 수석 연구원들을 대상으로 삼았다”고 말했다.
지난해부터 다크호텔 단체는 탐지 방지 기술 보완 등, 방어 기술 강화에 힘을 쏟았다. 올해 발견된 다크호텔 다운로더는 전세계 27개 회사의 안티 바이러스 기술을 식별하고 우회하도록 설계됐다.
