Video Screencast Help
Security Response

드래곤플라이(Dragonfly): 서방 에너지 기업 타겟으로 사이버 스파이 공격 감행

Created: 30 Jun 2014 12:58:04 GMT • Updated: 02 Jul 2014 04:48:29 GMT • Translations available: English, Français, Deutsch, Italiano, 日本語, Português, Русский, Español, Türkçe
Symantec Security Response's picture
0 0 Votes
Login to vote

dragonfly_concept.png

여러 에너지 기업을 타겟으로 사이버 스파이 활동을 벌이고 있는 정황이 포착되었습니다. 이러한 스파이 활동은 공격자에게 사보타주 공격을 감행할 수 있는 기반을 제공합니다. 시만텍에서 Dragonfly라고 지칭하는 이 공격 집단은 스파이 활동을 위해 전략적으로 중요한 다수의 조직을 공격했습니다. 이들이 사보타주 공격을 감행했다면 해당 국가의 전력 공급망이 파손되거나 붕괴되었을 수도 있습니다.

Dragonfly의 타겟에는 전력망 운영업체, 주요 전력 생산 기업, 송유관 운영업체, 에너지 산업용 장비 공급업체 등이 포함되었으며, 피해 업체의 상당수는 미국, 스페인, 프랑스, 이탈리아, 독일, 터키, 폴란드에 위치해 있습니다.

Dragonfly는 풍부한 리소스를 갖추었으며 다양한 멀웨어 툴을 활용하여 각종 공격 벡터를 통해 공격을 감행할 수 있습니다. 이 집단은 여러 산업 제어 시스템(Industrial Control System, ICS) 장비 공급업체의 시스템에 침투하여 원격으로 액세스할 수 있는 트로이 목마로 소프트웨어를 감염시킨 전력이 있습니다. 피해 업체에서 ICS 장비를 가동하는 시스템의 소프트웨어 업데이트를 다운로드할 때 멀웨어가 설치됩니다. 이를 통해 공격자는 타겟 기업의 네트워크에 침투할 뿐 아니라 감염된 ICS 시스템을 대상으로 사보타주 공격을 수행할 수 있습니다.

이 공격은 ICS 시스템을 노린 대형 멀웨어 공격 중에서 최초로 알려진 Stuxnet과 유사합니다. Stuxnet은 이란의 원자력 프로그램을 표적으로 하고 이를 파괴시키는 데 주력했지만, Dragonfly는 더욱 광범위한 표적을 노리며 현재로서는 스파이 활동 및 지속적인 접근을 주요 목표로 하며 필요에 따라 사보타주 공격을 벌이는 것으로 보입니다.

Dragonfly는 ICS 소프트웨어를 공격했을 뿐 아니라 타겟 기업 시스템을 감염시키기 위해 스팸 이메일을 전송하고 워터링 홀 공격 수법까지 구사했습니다. 이들이 주로 사용한 멀웨어 툴은 Backdoor.OldreaTrojan.Karagany입니다. 전자는 맞춤형 멀웨어로 보이는데, 공격자가 직접 개발했거나 누군가에게 제공받았을 것으로 추측됩니다.

시만텍은 발표에 앞서 피해를 입은 기업과 CERT(Computer Emergency Response Center)와 같이 인터넷 보안 사고를 처리하고 대응하는 국가 기관에 이 사실을 알렸습니다.

 

배경

Energetic Bear라고도 불리는 이 Dragonfly 그룹은 적어도 2011년부터 (혹은 그 훨씬 이전부터) 활동해 온 것으로 보입니다. 원래 Dragonfly는 미국과 캐나다의 방위산업체 및 항공업체를 표적으로 삼았지만, 2013년 초부터는 미국과 유럽의 에너지 기업을 중점적으로 공격하기 시작했습니다.

이렇듯 유럽과 미국의 에너지 기업을 겨냥한 공격은 곧 그 범위가 확대되었습니다. 이 집단은 초기에 타겟 기업의 직원에게 피싱 이메일을 통해 멀웨어를 보내기 시작했습니다. 나중에는 에너지 업체의 직원이 방문할 가능성이 있는 웹 사이트를 공격 거점으로 삼은 다음 방문자를 익스플로잇 킷 호스팅 웹 사이트로 리디렉션하는 워터링 홀 공격까지 추가했습니다. 그 결과 익스플로잇 킷을 통해 피해자의 시스템에 멀웨어가 설치되었습니다. 그 다음 단계에서는 세 군데 ICS 장비 제조업체의 정상적인 소프트웨어 번들을 트로이 목마로 변조했습니다.

Dragonfly는 매우 뛰어난 기술을 구사하는 등 정부의 후원을 받는 공격 집단의 특징을 보입니다. 이 집단은 여러 공격 벡터를 활용하여 제3의 웹 사이트를 대량으로 감염시킬 수 있는 능력을 갖추었습니다. Dragonfly는 오래 전부터 에너지 분야의 여러 기업을 타겟으로 삼았습니다. 현재는 사이버 스파이 활동이 주 관심사로 보이며, 부차적으로 사보타주 공격을 감행할 가능성도 있습니다.

이 공격 집단이 사용한 멀웨어의 타임스탬프를 분석한 바에 따르면, 이들은 대개 월요일부터 금요일까지 작업하고 UTC +4 표준 시간대의 평일 오전 9시부터 오후 6시까지 9시간 동안 집중적으로 활동합니다. 이러한 정보로 미루어볼 때 이 집단은 동유럽에 근거지를 두었을 가능성이 있습니다.

 figure1_9.png
그림. 가장 많이 감염된(공격자가 감염된 시스템에서 정보를 유출한 경우) 상위 10개국

 

사용되는

Dragonfly는 공격에 주로 두 가지 멀웨어를 사용합니다. 두 멀웨어 모두 RAT(원격 액세스 툴) 유형으로써 공격자가 감염된 시스템에 액세스하여 제어할 수 있도록 합니다. Dragonfly가 자주 사용하는 멀웨어 툴인 Backdoor.Oldrea는 Havex 또는 Energetic Bear RAT라고도 합니다. 공격자는 Oldrea를 백도어로 삼아 피해자의 시스템에 침투하여 데이터를 빼내고 다른 멀웨어도 설치할 수 있습니다.

Oldrea는 이 조직에서 직접 개발했거나 누군가가 대신 만들어 제공한 맞춤형 멀웨어로 보입니다. 이 멀웨어는 Dragonfly 집단이 보유하고 있는 능력과 리소스를 가늠해 볼 수 있는 몇 가지 단서를 제공합니다.

Oldrea는 피해자의 시스템에 설치되어 시스템 정보를 수집하고 파일, 설치된 프로그램, 이용 가능한 드라이브의 경로를 파악합니다. 또한 시스템의 Outlook 주소록과 VPN 구성 파일에서 데이터를 추출합니다. 그런 다음 이 데이터를 임시 파일에 기록하고 암호화한 다음 공격자가 제어하는 원격 C&C(명령 및 제어) 서버로 보냅니다.

C&C 서버 대다수는 컨텐트 관리 시스템을 실행하는 감염된 서버에서 호스팅하는 것 같습니다. 따라서 공격자가 각 서버의 제어 권한을 얻는 데 동일한 익스플로잇을 사용했을 가능성이 있습니다. Oldrea에는 기본 제어판이 있으며, 인증된 사용자는 이를 통해 개별 피해자로부터 훔쳐낸 데이터의 압축 버전을 다운로드할 수 있습니다.

Dragonfly에서 주로 사용한 두 번째 툴은 Trojan.Karagany입니다. Oldrea와 달리 Karagany는 주로 암시장에서 유통되었습니다. Karagany 버전 1의 소스 코드는 2010년에 밝혀졌습니다. 시만텍은 Dragonfly가 이 소스 코드를 입수해 원하는 용도에 맞게 조작했을 가능성이 있다고 판단합니다. 시만텍은 이 버전을 Trojan.Karagany!gen1 이라는 이름으로 탐지합니다.

Karagany는 감염된 시스템에서 훔쳐낸 데이터를 업로드하고 새로운 파일을 다운로드하며 실행 파일을 실행할 수 있습니다. 또한 감염된 시스템에서 암호 수집용 툴과 같은 추가 플러그인을 실행하고 스크린샷을 생성하며 문서를 카탈로그화하는 것도 가능합니다.

시만텍이 조사한 바에 따르면, 이러한 공격자들이 노린 컴퓨터 대다수가 Oldrea에 감염되었습니다. Karagany는 전체 감염 사례의 약 5%에서만 사용되었습니다. 이 두 가지 멀웨어는 기능면에서 유사하며, 공격자들이 사용할 멀웨어를 선택하는 기준은 아직 밝혀지지 않았습니다.

 

다양한 공격 벡터

Dragonfly는 에너지 분야의 공격 타겟에게 세 가지 이상의 감염 전술을 구사했습니다. 가장 먼저 사용된 것은 이메일 작전으로, 타겟 기업의 임원 및 고위직 직원을 골라 악성 PDF 첨부 파일이 포함된 이메일을 보냈습니다. 감염된 이메일의 제목은 “고객(The account)” 또는 “배송 문제 해결(Settlement of delivery problem)”이었습니다. 모든 이메일이 하나의 Gmail 계정에서 전송되었습니다.

이러한 스팸 작전은 2013년 2월에 시작되어 2013년 6월까지 이어졌습니다. 시만텍 조사 결과 이 작전의 타겟이 된 7개 기업이 밝혀졌습니다. 각 업체에는 적게는 1통, 많게는 84통의 이메일이 발송되었습니다.

그런 다음 공격자는 워터링 홀 공격에 주력했는데, 다수의 에너지 관련 웹 사이트에 심어둔 iframe을 통해 방문자를 Lightsout 익스플로잇 킷을 호스팅하는 또 다른 공격 거점인 합법적인 웹 사이트로 리디렉션했습니다. Lightsout은 Java 또는 Internet Explorer의 취약점을 통해 피해자의 시스템에 Oldrea 또는 Karagany를 설치합니다. 공격자가 각 작전 단계에서 다수의 합법적 웹 사이트를 공격 거점으로 삼았다는 사실 역시 이 조직이 상당한 기술력을 보유하고 있음을 입증합니다.

2013년 9월에 Dragonfly는 이 익스플로잇의 새로운 버전인 일명 Hello 익스플로잇 킷을 사용하기 시작했습니다. 이 킷의 랜딩 페이지에는 시스템의 지문을 인식하고 설치된 브라우저 플러그인을 파악하는 JavaScript가 들어 있습니다. 피해자는 한 URL로 리디렉션되는데, 여기서는 수집된 정보를 토대로 가장 효과적인 익스플로잇이 결정됩니다.

 

트로이 목마에 감염된 소프트웨어

Dragonfly의 목표가 가장 잘 드러난 공격 벡터는 공격에 여러 정상적인 소프트웨어 패키지를 이용한 것입니다. 세 ICS 장비 제공업체를 타겟으로 삼고 이들이 웹 사이트에서 다운로드 서비스로 제공하는 소프트웨어 번들에 멀웨어를 삽입했습니다. 세 업체 모두 에너지를 비롯한 여러 산업 분야에서 사용되는 장비를 생산하는 곳이었습니다.

가장 먼저 드러난 트로이 목마 소프트웨어는 PLC(Programmable Logic Controller) 유형의 장치에 VPN 액세스를 제공하는 데 사용되는 제품이었습니다. 해당 업체는 감염 직후에 그 사실을 알아냈지만, 이미 감염된 소프트웨어가 중복 없이 250회 다운로드된 상태였습니다.

두 번째 업체는 전문 PLC 유형의 장치를 생산하는 유럽의 제조사였습니다. 이 업체의 경우 하나의 장치 드라이버가 포함된 소프트웨어 패키지가 감염되었습니다. 시만텍이 추정한 바로는, 2013년 6월과 7월에 적어도 6주 동안 이 트로이 목마 소프트웨어를 다운로드할 수 있었습니다.

세 번째 업체는 풍력 발전용 터빈, 바이오가스 생산 시설, 기타 에너지 인프라스트럭처용 관리 시스템을 개발하는 유럽의 회사였습니다. 시만텍은 2014년 4월에 약 10일간 이렇게 감염된 소프트웨어의 다운로드가 가능했던 것으로 보고 있습니다.

Dragonfly는 고도의 기술력과 전략을 갖추고 있습니다. 일부 공격 대상의 규모로 미루어볼 때 이 조직은 해당 기업의 협력업체, 즉 상대적으로 규모가 작고 보안이 허술한 업체를 공격하여 "취약점"을 찾아냈습니다.

 

보호

시만텍은 이러한 멀웨어 공격으로부터 최신 버전의 시만텍 제품을 사용 중인 고객을 보호하기 위해 아래와 같은 탐지 기능을 제공합니다.

안티바이러스 탐지

침입 차단 시그니처

Dragonfly 공격의 기술적인 세부 사항은 시만텍 백서에서 확인하십시오.