메뉴 건너뛰기

오에스매니아

R 파일
방글라데시 은행 해킹 용의자 ‘Lazarus’가 북한?
  |  입력 : 2017-04-04 18:53
 
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
카스퍼스키랩, 은행 강도 예방을 위해 악질 해커 ‘Lazarus’ 1년 이상 조사

[보안뉴스 원병철 기자] 2016년 방글라데시 중앙은행의 8,100만 달러 도난 사건의 강력한 용의자로 지목 받고 있는 악질 해킹 조직 ‘Lazarus’를 1년간 조사한 카스퍼스키랩이 그 결과를 발표했다. 특히 카스퍼스키랩은 Lazarus가 북한 IP와 연결된 점을 지적하며, 북한일 수도 있다는 의심을 보였다. 

동남아 및 유럽 은행에 Lazarus가 남긴 정보에 대한 포렌식 분석을 수행하던 카스퍼스키랩은 이 해킹 조직이 사용하는 악성 도구와 이들이 금융 기관, 카지노, 전 세계 투자 기업의 소프트웨어 개발자를 공격하면서 어떤 식으로 활동하는지를 심도 있게 파악할 수 있었다고 밝혔다. 덕분에 금융 기관으로부터 거액의 자금을 빼돌리기 위해 진행 중이던 다른 활동을 2건 이상 저지하는 성과를 거두었다. 

001(582).jpg

2016년 2월, 당시에는 신원 불명이던 한 해커 조직이 미화 8억 5,100만 달러를 훔치려는 시도를 했고 이 가운데 방글라데시 중앙은행으로부터 미화 8,100만 달러를 불법 인출했다. 이는 역대 최대 규모의 사이버 강도로 손꼽히고 있다. 다양한 IT 보안 기업의 연구원들은 추가 조사를 실시한 가운데, 카스퍼스키랩은 이 공격이 Lazarus의 소행일 가능성이 매우 높다고 밝혔다. Lazarus는 악명 높은 사이버 스파이 및 사보타주 조직으로 파괴적인 공격을 꾸준히 자행해 왔으며 2009년 이래로 전 세계 18개국 이상의 다양한 제조 기업, 미디어 및 금융 기관을 해킹한 것으로 유명하다. 

방글라데시 공격 이후로 몇 개월 동안 잠잠하긴 했으나 Lazarus는 활동을 지속하고 있었다. 다른 은행의 자금을 훔치기 위한 새로운 계획을 준비해오고 있었으며, 준비 태세가 되는 즉시 동남아 금융 기관에 발을 담갔다. 카스퍼스키랩 제품과 후속 조사에 의해 이러한 계획이 저지된 이후 이 해킹 조직은 몇 개월간 다시 잠잠해졌으며, 이후 활동 무대를 유럽으로 옮겼다. 그러나 카스퍼스키랩의 보안 소프트웨어에 탐지되었을 뿐만 아니라 기업 연구원들의 적극적인 협조와 리버스엔지니어링, 포렌식 분석, 신속한 사건 대응으로 인해 유럽에서도 제대로 활동하지 못한 것으로 드러났다. 

Lazarus의 범죄 패턴
카스퍼스키랩 연구원들은 Lazarus의 공격에 대한 포렌식 분석 결과를 토대로 이 조직의 작업 방식을 재구성했다.

△ 초기 침투 : 원격 액세스가 가능한 취약 코드(예 : 웹 서버에 존재)를 사용해 또는 웹사이트에 이식한 익스플로잇을 통한 워터링홀 공격으로 인해 은행 내부의 한 시스템에 침투한다. 익스플로잇이 이식된 사이트를 희생양(은행 직원)이 방문하면 해당 직원의 컴퓨터가 악성 코드에 감염되어, 은행의 다른 구성 요소까지 침투할 수 있는 상태가 된다.

△ 발판 마련 : 그런 다음 Lazarus는 다른 은행 컴퓨터로 이동하여 영구적인 백도어를 구축한다. 악성 코드를 통해 해커들이 언제든지 드나들 수 있는 문이 만들어지는 것이다.

△ 내부 정찰 : 이후 Lazarus는 상당 시간 해당 네트워크를 분석하고 중요한 리소스를 파악한다. 이러한 리소스로는 인증 정보가 저장된 백업 서버, 메일 서버, 이 회사의 각 보안 액세스에 대한 암호가 포함된 도메인 컨트롤러 전체, 금융 거래 기록 저장/처리 서버 등이 있다.

△ 전달 및 절도 : 마지막으로 금융 소프트웨어의 내부 보안 기능을 우회하고 은행을 대신해 악의적인 거래를 생성하는 특수 악성 코드를 구축한다.

지리적 분포 및 특성
카스퍼스키랩 연구원들이 조사한 공격은 수주간 계속되었지만, 수개월에 걸쳐 은밀하게 진행된 작전도 있었던 것으로 보인다. 한 예로, 동남아에서 발생한 사건을 분석하는 과정에서 전문가들은 Lazarus 해커들이 은행의 보안 팀이 사건 대응을 요청한 하루 전날까지 7개월 미만의 기간으로 은행 네트워크에 침투할 수 있었다는 점을 발견했다. 실제로 Lazarus는 방글라데시 사고 하루 전날에도 은행의 네트워크에 액세스할 수 있었다. 

002(307).jpg


카스퍼스키랩의 기록에 따르면, 2015년 12월부터 대한민국, 방글라데시, 인도, 베트남, 인도네시아, 코스타리카, 말레이시아, 폴란드, 이라크, 에티오피아, 케냐, 나이지리아, 우루과이, 가봉, 태국 및 기타 여러 국가에 소재한 투자 기업의 카지노 소프트웨어 개발자, 암호화 화폐 업체, 금융 기관에서 Lazarus 조직 활동과 연관성이 있는 악성 코드 샘플이 발견되었다. 2017년 3월에도 카스퍼스키랩은 이러한 샘플을 탐지했으며, 이로 미루어볼 때 이 조직은 앞으로도 계속해서 활동을 이어나갈 것으로 보인다.

Lazarus 해커들은 자신의 흔적을 모두 지우는 등의 방식으로 완전 범죄를 꿈꾸고 있기는 하나, 또 다른 작전에서 침투했던 한 서버에서 중요한 정보를 남기는 치명적인 실수를 범했다. 활동 준비가 이루어지는 동안 이 서버는 악성 코드의 C&C 센터로 구성되었다. 구성 당일 이루어진 최초 연결은 여러 개의 VPN/프록시 서버를 통해 이루어졌으며, 이것은 C&C 서버의 테스트 기간을 의미한다. 이날 아주 짧은 연결이 하나 이루어졌는데, 이 연결은 북한의 극히 드문 IP 주소 범위를 통한 것이었다. 연구원들은 다음과 같이 여러 가지로 추측할 수 있다고 밝혔다. 

△ 공격자는 북한의 해당 IP 주소와 연관이 있음
△ 다른 누군가의 정교한 가짜 작전일 가능성
△ 북한에서 실수로 C&C URL에 방문함

Lazarus 조직은 새로운 변종 개발에 대대적인 투자를 단행하고 있다. 수개월 동안 이들은 보안 솔루션을 피해갈 악성 툴을 제작하는 데 심혈을 기울였다. 그러나 새로운 시도를 할 때마다 카스퍼스키랩의 전문가들은 Lazarus의 코드 생성 방식과 관련된 고유한 특성을 식별해냈으며, 그 결과 카스퍼스키랩은 새로운 샘플을 꾸준하게 추적할 수 있게 되었다. 현재는 해커들의 활동이 비교적 잠잠한 편이며, 해킹 전략을 재정비하고 있는 것으로 추측된다.

카스퍼스키랩코리아의 이창훈 지사장(www.kaspersky.co.kr)은 “해커들의 공격이 재개되는 것은 시간문제입니다. Lazarus가 선보인 유형의 공격이 시사하는 점은, 사소한 구성 오류가 엄청난 보안 침해를 초래할 수 있으며 그 결과 회사는 수억 달러에 이르는 재정적 타격을 피할 수 없게 된다는 것입니다. 전 세계 은행, 카지노, 투자 기업의 임원들이 Lazarus라는 해킹 조직을 예의주시하는 것이 필요합니다”라고 말했다.

카스퍼스키랩 제품은 Lazarus에서 사용하는 악성 코드를 다음과 같은 이름을 통해 성공적으로 탐지하여 차단한다.
· HEUR:Trojan-Banker.Win32.Alreay*, 
· Trojan-Banker.Win32.Agent* 

또한 카스퍼스키랩에서는 주요 보안침해 지표(IOC) 및 기타 데이터를 꾸준히 발표해 기업들이 회사 네트워크에서 이러한 공격 조직의 흔적을 찾을 수 있도록 지원하고 있다. 자세한 정보는 ‘Securelist.com’에서 확인할 수 있다.

카스퍼스키랩은 모든 조직들은 회사 네트워크에 Lazarus 악성 코드 샘플이 있는지 정밀 검사를 수행하고, 이러한 샘플이 탐지될 경우 이를 제거하고 해당 침입 사실을 사법 기관과 사고 대응 팀에 보고할 것을 권장하고 있다. Lazarus 조직의 금융 기관 공격에 대한 자세한 내용은 Securelist.com의 블로그에 안내되어 있다.


출처:http://www.boannews.com/media/view.asp?idx=54114&kind=3

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

프리네

2017.04.05 11:54
가입일: 2016:05.06
총 게시물수: 310
총 댓글수: 13081

큰돈 들이지 않고 돈버는 방법이라 그런가....아주 작정한듯 공격적이네요.

profile

Bobono

2017.04.05 12:09
가입일: 2016:12.05
총 게시물수: 16
총 댓글수: 820

좋은 정보 고맙습니다.

profile

hallasan

2017.04.09 13:32
가입일:
총 게시물수: 0
총 댓글수: 375

감사합니다

profile

대공

2017.09.02 15:08
가입일:
총 게시물수: 25
총 댓글수: 1064

북한이 문제

List of Articles
번호 제목 글쓴이 날짜sort 조회 수
공지 보안 게시판 신설 file + 8 Op 2016-10-16 193
282 보안 소식 안랩, 12일 발생한 ‘타사 모바일 백신의 V3 Mobile Plus 2.0 오진’은 단순 오진 + 8 pavkim 05-13 140
281 보안 소식 99개국에 10시간동안 7만5천건의 랜섬웨어 공격이 발생 + 10 pavkim 05-13 127
280 보안 소식 홈피 방문만으로 감염되는 ‘체포 협박’ 랜섬웨어 매트릭스 출현 + 12 ordo 05-07 265
279 보안 소식 SMSVova 스파이웨어를 숨긴 가짜 앱, 구글 플레이 스토어에서 수년 동안 탐지되지 않아 + 10 ordo 05-01 208
278 보안 소식 해킹으로부터 보호하기 위해 당신의 기기를 해킹하는 봇넷 발견 + 8 ordo 05-01 191
277 보안 소식 OLE 패키지로 악성 스크립트를 실행하는 문서파일 주의 + 7 ordo 05-01 121
276 일반 4차 산업혁명, 인텔리전스 보안은 선택이 아닌 필수다 + 7 ordo 05-01 124
275 보안 소식 PDF 첨부파일 기능을 악용하여 매크로 악성파일을 유포하는 새로운 방식 발견돼 + 7 ordo 05-01 121
274 일반 [대중문화와 사이버 개념 이해] ⑥자동차 해킹은 IoT 해킹의 해일이다 + 6 ordo 05-01 40
273 일반 [대중문화와 사이버 개념 이해] ⑧사이버 보안의 기본은 물리적 보안이다 + 6 ordo 05-01 49
272 일반 [대중문화와 사이버 개념 이해] ⑦사이버 세계의 확장, 브레인넷 시대의 도래 + 5 ordo 05-01 54
271 일반 [대중문화와 사이버 개념 이해] ⑤보안 프로그램도 악용될 수 있다 + 6 ordo 05-01 42
270 일반 [대중문화와 사이버 개념 이해] ④SNS의 지속 성장은 유용성과 보안성에 있다 + 5 ordo 05-01 44
269 일반 [대중문화와 사이버 개념 이해] ③해킹의 新패러다임은 실물 복제 고도화 + 6 ordo 05-01 45
268 일반 [대중문화와 사이버 개념 이해] ②사이버 보안기술의 핵심은 인간의 특성이다 + 6 ordo 05-01 64
267 일반 [대중문화와 사이버 개념 이해] ①모든 해킹의 단초는 인간이다 + 6 ordo 05-01 64
266 일반 페이스북 ‘좋아요’와 스팸 댓글 바꾸실래요? + 7 ordo 04-28 80
265 보안 소식 “Are you Happy?” 3.20·한수원 사태 北 해커들, 연합작전 개시 + 5 ordo 04-28 46
264 일반 인터폴, 아세안 지역서 C&C 서버 9000여개 적발 + 8 ordo 04-27 93
263 보안 소식 한국 비트코인 거래소 ‘야피존’ 해킹!...55억 규모 탈취 + 7 ordo 04-27 233
262 보안 소식 中 웜 바이러스, PC 14만 4,000대 감염 + 11 ordo 04-25 124
261 보안 소식 인니 해커들의 국내 홈피 해킹 일지! 속수무책 당해야만 하나 + 9 ordo 04-25 90
260 보안 소식 NSA 사이버 무기 판도라 상자 열렸다. file + 7 파란하늘 04-23 70
259 보안 소식 역대 최악 수준의 ‘컨피커 웜’ 공포, 랜섬웨어로 부활하나 + 11 ordo 04-22 121
258 보안 소식 시스코·아파치·VMware·오라클 등 글로벌 SW, 보안 패치 줄이어 + 5 ordo 04-22 141
위로

Master of OS Mania
×

진정한 OS를 알아볼수 있는 전문가 집단.

오에스매니아 에 가입하십시요

그동안 보지 못한 신세계를 만날수 있습니다.