해커즈뉴스 / 해커대학

Donation bitcoin(기부용 비트코인 주소)

 
1Pq3K39XM5xx4CifGKgppXeavtWNNHH7K4
 
기부하신 비트코인은 "보안 취약 계층"을 위해 사용되고 있습니다.
 
 

Donation bitcoin(기부용 비트코인 주소)

 
1Pq3K39XM5xx4CifGKgppXeavtWNNHH7K4
 
기부하신 비트코인은 "보안 취약 계층"을 위해 사용되고 있습니다.
 

공지

 

1. 크롬 브라우저로 접속시 나오는 악성코드 경고창은 구글 크롬의 에러, 즉 오탐(탐지 오류)이므로 무시하시면 됩니다.

2. 이 사이트는 안전하며 깨끗하다는 것을 알려 드립니다.

 

  ▒   [해커대학 - hackers college]   ▒  

작성자: 해커즈뉴스
장르: 해킹
2020/6/5(금)
조회: 419
수준 낮다고 무시 받았던 해킹 그룹 사이클덱, 알고 보니  
중국의 해커 단체로 여겨지는 사이클덱(Cycldek)의 위험성에 대한 새로운 보고서가 발표됐다. 보안 업계에서는 사이클덱이 기술적으로 완숙하지 못한 단체라고 무시해왔었다. 하지만 카스퍼스키(Kaspersky)가 “생각보다 강력한 위협이 될 가능성이 높다”고 반박했다.

[이미지 = utoimage]


카스퍼스키가 이런 결론을 내린 것은 사이클덱이 사용하고 있는 도구와 전략을 분석한 뒤의 일이다. 보고서에 의하면 현재까지 알려지지 않았을 뿐 사이클덱은 이미 베트남과 라오스, 태국의 주요 단체들의 네트워크에 이미 깊숙하고 방대하게 침투해 있는 상태라고 한다. 또한 최소 2018년부터 다양한 도구와 전략을 유연하게 활용해왔고, 다양한 국가들에서 활동의 흔적이 발견되고 있다고도 한다. 사이클덱은 고블린 판다(Goblin Panda)나 코나임즈(Conimes)라고도 불린다.

카스퍼스키가 새롭게 발견한 이들의 새로운 도구에는 USB컬프릿(USBCulprit)이라는 것이 있다. 분석해보니 망분리가 된 시스템을 공격하기 위한 도구로 보였다. “공격자들이 원하는 데이터를 추출하고, 이를 USB로 옮기는 기능을 가지고 있었습니다. 또한 특정 USB 드라이브들에 스스로를 복제하는 기능도 있었습니다. 그러면서 망분리 된 시스템에도 옮겨갈 수 있도록 한 것이죠.”

카스퍼스키의 수석 보안 연구원인 마크 레흐틱(Mark Lechtik)은 “게다가 USB컬프릿에는 네트워크를 통한 통신 기능이 하나도 없었다”고 설명을 추가했다. “오로지 물리적으로 삽입된 드라이브에만 복제를 하거나 정보를 넘기는 멀웨어였습니다. 감염시킨 시스템의 연결 상태를 매핑하는 기능도 가지고 있었고요. 여러 모로 인터넷과 네트워크로부터 분리된 시스템을 노리는 멀웨어일 가능성이 높습니다.”

공격이 성립하려면 몇 가지 조건이 성립되어야 한다. “멀웨어가 심긴 USB를 피해자가 망분리 된 시스템에 꽂아야 합니다. 그런 후에 멀웨어를 직접 실행시켜야 해요. 실수로든 혹은 일부러든 말이죠. 이건 2012년 이란에서 발생한 스턱스넷(Stuxnet) 사건과 비슷합니다. 현재까지 스턱스넷이 이런 시나리오로 이란 핵시설을 마비시켰다는 게 업계 내 정설입니다. 즉 이런 공격 시나리오가 상상 속에서만 존재하는 게 아니라는 것이죠.”

그러나 USB로 빼낸 정보를 사이클덱이 운영하는 서버나 시스템으로 옮겨오는 방식에 대해서는 아직 확실하게 알아낸 바가 없다. “아마도 공격에 사용된 USB를 물리적으로 탈취하는 등의 방법을 사용하지 않을까 합니다. 이 부분에 대해서는 조금 더 연구가 필요합니다.”

USB컬프릿에는 훔친 데이터를 로컬 디스크에 옮겨놓는 기능도 있었다. 다만 이 로컬 디스크의 특정 경로에 1.txt라는 파일이 존재해야만 발동하는 기능이었다. “1.txt 파일은 일종의 표식 같습니다. 이런 표식이 있는 시스템에 USB가 삽입되면 데이터가 옮겨가고, 공격자들은 이 시스템을 통해 훔친 정보를 추출해가는 것도 같습니다.” 하지만 아직 1.txt라는 표식이 있는 컴퓨터를 공격자들이 어떤 식으로 활용하는지는 다 파악하지 못한 상태다.

그렇다면 사이클덱 공격자들은 주로 어떤 정보를 훔쳐가는 걸까? 이 역시 아직 명확히 밝혀내지 못했다. “USB컬프릿은 파일 확장자를 기반으로 훔쳐갈 것들을 결정합니다. 또한 파일의 위치와 경로도 선택의 기준이 되는 것으로 보입니다. 주요 위치는 데스크톱 바탕화면, 최근 파일 등이었고요. 그러나 실제 어떤 파일을 가져가는지는 아직 파악하지 못했습니다.”

사이클덱이 USB컬프릿을 사용한 것은 최소 2014년부터인 것으로 보인다. 그리고 지금까지 계속해서 멀웨어를 업그레이드 시켜 왔다. 최신 버전의 경우 모듈을 덧붙여 기능을 확장시킬 수 있는 데까지 발전했다.

또한 사이클덱이라는 이름 아래 두 개의 하위 단체가 독립적으로 활동하고 있다는 정황도 나왔다고 카스퍼스키는 밝혔다. “두 단체가 어느 정도는 협업을 하는 것으로도 보이지만, 기본적으로는 독립적인 활동 반경을 가지고 있습니다. 사용하는 도구는 조금씩 겹치는데, 공격 인프라 자체는 완전히 동떨어져 있거든요.”

3줄 요약
1. 수준 낮다고 무시해왔던 중국의 해킹 그룹 사이클덱.
2. 하지만 수년 전부터 망분리 시스템 노리고, 주요 멀웨어를 모듈 구성으로 업그레이드 시킴.
3. 정보가 부족해서 수준이 낮아보였던 것이지 사실은 잠재력이 컸던 것.

  이름   메일   관리자권한임
  내용 입력창 크게
                    답변/관련 쓰기 폼메일 발송 수정/삭제     이전글 다음글    
번호장르제 목작성일
5636 사건사고    토스 해킹피해, 토스 이용자 계좌에서 빠져나간 200만원 "토스의 빠른 태세전환" 2020/06/07
5635 해킹    학술 문서파일 위장 악성코드 주의 2020/06/06
5634 해킹    수준 낮다고 무시 받았던 해킹 그룹 사이클덱, 알고 보니 2020/06/05
5633 해킹    미 대선 노린 해킹세력…중국은 바이든 캠프, 이란은 트럼프 캠프 2020/06/05
5632 해킹    인도네시아 '인터넷 차단 소송' 재판 화상중계…해커들 끼어들어 2020/06/04
5631 해킹    해커집단 '어나니머스 브라질'도 활동 재개…보우소나루 겨냥 2020/06/04
5630 해킹    해킹 공격받은 비주얼샤워 게임 서비스 정상화 2020/06/04
5629 해킹    미 흑인사망에 해커조직 '어나니머스' 재등장…"경찰 범죄 폭로" 2020/06/03
5628 해킹    코로나로 변한 해커들 : 해킹 대행 서비스와 정보 살포 캠페인 증가 2020/06/02
5627 보안    해킹 당해도 패스워드 안 바꾼다…"3명 중 1명만 변경" 2020/06/02

 
목록