본문 바로가기 주메뉴 바로가기 검색 바로가기
강력한 스파이웨어 악용, 새로운 ‘워터링 홀’ 공격 실현
상태바
more #스파이웨어 #인텔렉사 #NSO 그룹 #사이버 공격 #사이버 보안
강력한 스파이웨어 악용, 새로운 ‘워터링 홀’ 공격 실현
의심스러운 러시아 해커 세력이 여러 웹사이트 보안을 연속으로 무너뜨려 NSO그룹과 인텔렉사가 개발한 첨단 스파이웨어를 악용했다.
By Lily Hay Newman, WIRED US

지난 몇 년간 인텔렉사(Intellexa), NSO 그룹(NSO Group) 등 첨단 기술을 동원한 교묘한 상업용 스파이웨어 공급사가 패치 작업이 되지 않은 상태의 드문 제로데이 소프트웨어 취약점을 악용하여 피해자 기기 보안을 침해할 수 있는 강력한 해킹 툴을 여럿 개발했다. 여러 국가의 정부가 두 기업의 스파이웨어 주요 고객이며, 야당 지도자, 언론인, 사회 운동가, 변호사 등의 스마트폰 보안을 침해하여 감시를 일삼았다는 사실이 날이 갈수록 드러났다. 2024년 8월 29일(현지 시각), 구글 위협분석그룹(Threat Analysis Group)은 최근, 러시아의 악명 높은 해커 조직인 APT29 코지베어(APT29 Cozy Bear)가 개시한 것으로 추정되는 해킹 작전에서 인텔렉사와 NSO 그룹이 개발한 것과 유사한 해킹 툴이 현재 진행 중인 감시 작전에 동원되었다는 연구 결과를 게재했다.

2023년 11월부터 2024년 7월 사이 해커 조직은 몽골 정부 웹사이트 보안 침입 후 접근 권한을 이용하여 워터링 홀(watering hole) 공격을 개시했다. 워터링 홀은 보안이 약해진 웹사이트를 실행하는 보안이 취약한 기기를 누구나 해킹할 수 있는 공격이다. 공격자는 각종 악성 인프라를 설치하여 과거 인텔렉사, NSO그룹 등 상용화 감시 기술 공급사가 이용한 것과 동일하거나 비슷한 악용 지점을 이용했다. 구글 연구팀은 평가를 통해 APT29가 공격 작전을 개시한 사실을 어느 정도 확신했다고 전했다.

스파이웨어와 유사한 해킹 툴은 대부분 이미 패치 작업이 진행된 애플 iOS, 구글 안드로이드의 취약점을 악용한다. 초기에는 패치 작업이 되지 않은 제로데이 악용 형태로 스파이웨어 공급사가 악성 인프라를 배포했다면, 최근 공격 반복 과정에서 APT29가 보안 수정 사항이 업데이트되지 않은 피해자 기기를 악용했다.
 
[사진=Freepik]
[사진=Freepik]

구글 위협분석그룹 연구팀은 “APT29가 보안 취약점을 악용한 과정은 확실하지 않지만, 이번 연구 결과는 상용화 감시 기술 공급사가 초기에 개발한 악용 지점이 위험한 해커 세력으로 확대된 사실을 강조한단. 게다가 워터링 홀 공격은 첨단 기술을 동원하여 악용 지점을 이용한 위협은 여전히 모바일 기기를 포함하여 주기적으로 웹사이트에 접속하는 이들을 공격 대상으로 삼을 수 있는 상태이다. 워터링 홀은 패치 작업이 적용되지 않은 브라우저를 운영하는 대다수 사용자를 집단으로 표적으로 삼을 수 있다”라고 설명했다.

해커의 스파이웨어 악용 지점 구매 후 변경, 데이터 유출을 통한 접근 권한 탈취나 확보가 가능하다. 해커가 상용화 감시 기술에서 영감을 받아 악성 프로그램에 감염된 피해자 기기를 검증하는 방시긍로 역설계할 수도 있다.

2023년 11월부터 2024년 2월 사이 해커는 사실상 인텔렉스가 2023년 9월, 패치 적용이 되지 않은 제로데이 취약점 여러 개로 처음 선보인 iOS와 사파리 악용 지점과 사실상 일치하는 부분을 공격 개시 단계에서 악용했다. 2024년 7월, 해커는 NSO 그룹 툴에서 변경한 크롬 악용 지점을 이용했다. NSO 그룹 툴에서 변경한 악용 지점은 2024년 5월 처음 등장했다. 이후 등장한 해킹 툴은 인텔렉사가 2021년 9월, 감시 공격 당시 처음 악용한 지점과 매우 비슷한 취약점을 결합했다.

이미 패치 작업을 마친 취약점을 악용하고자 할 때는 ‘n-데이 악용 지점’이라고 알려진 활동을 채택했다. 취약점이 어디엔가 존재하며, 시간이 지나면서 패치가 적용되지 않은 기기를 악용할 수 있기 때문이다. 공격 배후로 의심되는 러시아 해커 조직은 상용화 스파이웨어 변형 툴을 통합했다. 그러나 멀웨어 유포, 보안 침해가 발생한 기기 활동 등 전반적인 공격 작전은 전형적인 상용화 스파이웨어 고객사와는 다른 방식으로 구성했다. 사이버 공격 세계에서 확고한 입지를 다진 데다가 공격 자원이 풍부한 국가 산하 해킹 조직의 기술적 능숙함과 정확한 공격 개시 능력을 시사한다.

구글 위협분석그룹 연구팀은 “워터링 홀 공격이 반복될 때마다 해커 세력은 과거 상용화 기술 공급사인 인텔렉사, NSO 그룹이 이용한 악용 지점과 똑같거나 매우 유사한 악용 지점을 이용했다. 해커 조직이 악용 지점을 확보한 경로는 확실하지 않다. 하지만 초기 제로데이에 악용된 APT29가 n-데이 악용 지점을 이용한 사실은 분명하다”라고 말했다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Powerful Spyware Exploits Enable a New String of ‘Watering Hole’ Attacks
와이어드 코리아=Wired Staff Reporter iufcsol0122@spotv.net
저작권자 © WIRED Korea 무단전재 및 재배포 금지
와이어드 코리아=Wired Staff Reporter iufcsol0122@spotv.net
저작권자 © WIRED Korea 무단전재 및 재배포 금지
이 기사를 공유합니다
RECOMMENDED
와이어드 뉴스레터 신청
  • 서울시 마포구 월드컵북로 56길 12 상암동 Trutec 빌딩 6층
  • 대표 전화 : 1833-8910 (평일 오전 9:30~18:30)
  • 팩스 : 02)539 -3968
  • 대표 메일 : wiredkorea@wired.kr
  • 회사명 : ㈜스포티비와이어드
  • 제호 : 와이어드코리아 WIRED Korea
  • 정기간행물 등록번호 : 서울 아 52627
  • 등록일 : 2019-09-30
  • 발행일 : 2019-12-12
  • 청소년보호책임자 : 이상현
  • 청소년보호책임자 : 이상현
  • WIRED Korea의 모든 콘텐츠는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2024 와이어드코리아 Wired Korea. All rights reserved.
ND소프트
WIRED Korea 공식 SNS
WIRED Korea Newsletter 구독신청