ÈÉÄ¡°í ºüÁ®³ª°£ °Ô ¾Æ´Ï¶ó ½Ã½ºÅÛ¿¡ ³²¾Æ ÀÖ±â À§ÇØ ½Ãµµ
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¸Ó´ÏÅ×ÀÌÄ¿(MoneyTaker)¶ó´Â À̸§À» °¡Áø »çÀ̹ö ¹üÁË ±×·ìÀÌ ÃÖ±Ù ·¯½Ã¾ÆÀÇ ÇÑ ÀºÇàÀ¸·ÎºÎÅÍ 1¹é¸¸ ´Þ·¯¸¦ ÈÉÄ¡´Â µ¥ ¼º°øÇß´Ù°í º¸¾È ȸ»çÀÎ ±×·ìIB(Group-IB)°¡ ¹àÇû´Ù. ÇÇÇØ ÀºÇàÀÇ À̸§Àº PIR¹ðÅ©(PIR Bank)´Ù.
[À̹ÌÁö = iclickart]
»ç°Ç ÀÚü°¡ ¹ß»ýÇÑ °Ç 7¿ù 3ÀÏÀ̸ç, °ø°ÝÀÚµéÀº ·¯½Ã¾Æ Áß¾ÓÀºÇàÀÇ ÀÚµ¿È ¿öÅ©½ºÅ×ÀÌ¼Ç Å¬¶óÀ̾ðÆ®(Automated Workstation Client)¸¦ ÅëÇØ ÀÏÀ» ÀúÁú·¶´Ù. ÀÚµ¿È ¿öÅ©½ºÅ×ÀÌ¼Ç Å¬¶óÀ̾ðÆ®´Â ±¹Á¦ ÀºÇà °£ Åë½Å ½Ã½ºÅÛÀÎ SWIFT¿Í ºñ½ÁÇÑ °ÍÀ¸·Î, °ø°ÝÀÚµéÀº ÀÌ ½Ã½ºÅÛÀ» ÅëÇØ µ·À» 17°³ °èÁ·ΠºÒ¹ý ¼Û±ÝÇÑ ÈÄ Çö±ÝÀ¸·Î ÀÎÃâÇß´Ù.
½ÉÁö¾î »ç°Ç ÀÌÈÄ¿¡µµ »çÀ̹ö ¹üÁËÀÚµéÀº ÀºÇàÀÇ ³×Æ®¿öÅ©¿¡¼ ºüÁ®³ª°¡´Â °Ô ¾Æ´Ï¶ó °è¼ÓÇؼ ¸Ó¹°·¯ ÀÖ´Â ÂÊÀ» ÅÃÇß´Ù. ´Ù¸¸ ÀÌ ½Ãµµ´Â ŽÁöµÇ¾î Á¦°ÅµÆ´Ù. PIR¹ðÅ© Ãø¿¡¼´Â ºÒ¹ý ¼Û±ÝµÈ µ·À» ȸ¼öÇÏ·Á°í ÇßÀ¸³ª, µµ³ ´çÇÑ µ· ´ëºÎºÐÀ» ãÀ» ¼ö ¾ø¾ú´Ù°í ¹ßÇ¥Çß´Ù. ÀÌ´Â ÃÑ 92¸¸ ´Þ·¯¿¡ ´ÞÇϴµ¥, ±×·ìIB¿¡ µû¸£¸é À̰͵µ ¡®ÃÖ¼ÒÇÑÀÇ ¿¹Ãø ¾×¡¯ÀÏ»ÓÀ̶ó°í ÇÑ´Ù.
±×·ìIB´Â ÀÌ »ç°ÇÀÇ Á¶»ç¿Í ºÐ¼®À» Ã¥ÀÓÁø ȸ»ç·Î, ¡°¸ðµç Áõ°Å°¡ ¸Ó´ÏÅ×ÀÌÄ¿¶ó´Â °ø°Ý ±×·ìÀ» °¡¸®Å°°í ÀÖ´Ù¡±°í ¸»ÇÑ´Ù. À̹ø °ø°Ý¿¡ »ç¿ëµÈ Åø°ú ±â¼úÀÌ ¸Ó´ÏÅ×ÀÌÄ¿¶óÀÇ ±×°Í°ú »ó´çÈ÷ °ãÄ¡±â ¶§¹®ÀÌ´Ù. ¶ÇÇÑ C&C ¼¹öÀÇ IP ÁÖ¼Ò ¿ª½Ã ÀÌÀü ¸Ó´ÏÅ×ÀÌÄ¿ÀÇ ±×°Í°ú °ãÄ£´Ù°í ÇÑ´Ù.
¸Ó´ÏÅ×ÀÌÄ¿´Â ÇöÀç±îÁö ¹ß°ßµÈ °Í¸¸ 20°ÇÀÌ ³Ñ´Â ±ÝÀ¶ »ç°í¸¦ ÀúÁö¸¥ ±×·ìÀ¸·Î, ÁÖ·Î ¿µ±¹°ú ¹Ì±¹, ·¯½Ã¾Æ¿¡¼ Áö³ 2³â µ¿¾È È°µ¿ÇØ¿Ô´Ù. ÁÖ·Î ·¯½Ã¾Æ ÀºÇàµéÀÌ »ç¿ëÇÏ´Â AWS CBRÀ̳ª ¹Ì±¹ÀÇ SWIFT °°Àº Ä«µå ó¸® ½Ã½ºÅÛÀ» °ø°ÝÇß´Ù°í ±×·ìIB´Â ¼³¸íÇÑ´Ù.
º¸¾È Àü¹®°¡µéÀº PIR¹ðÅ©¸¦ °Ü³ÉÇÑ °ø°ÝÀÌ ÃÖÃÊ·Î ½ÃµµµÇ±â ½ÃÀÛÇÑ °Ç 2018³â 5¿ùÀ̶ó°í º¸°í ÀÖ´Ù. ÀºÇàÀÇ ÁöºÎ Áß ÇÑ ±ºµ¥ÀÇ ¶ó¿ìÅ͸¦ ħÇØÇÑ °ÍºÎÅÍ °ø°ÝÀÌ ÀÌ·ïÁ³´Ù. ¡°¶ó¿ìÅ͸¦ ÅëÇØ °ø°ÝÀÚµéÀº ÀºÇàÀÇ ·ÎÄà ³×Æ®¿öÅ©·Î Á÷Á¢ ħÅõÇØ µé¾î°¥ ¼ö ÀÖ¾ú½À´Ï´Ù. ÀÌ·± ¹æ½Ä ÀÚü°¡ ÀüÇüÀûÀÎ ¸Ó´ÏÅ×ÀÌÄ¿ÀÇ ¸ð½ÀÀÔ´Ï´Ù. ÀÌ¹Ì ´Ù¸¥ ³ª¶óÀÇ ¿©·¯ ÀºÇàµéµµ ÀÌ·± ¹æ½ÄÀ¸·Î °ø°ÝÇÑ ¹Ù ÀÖ½À´Ï´Ù.¡±
±×·± ÈÄ ÇØÄ¿µéÀº ÀºÇàÀÇ ÁÖ¿ä ³×Æ®¿öÅ©·Î±îÁö ħÅõÇØ AWS CBR¿¡ Á¢±ÙÇÏ´Â µ¥ ¼º°øÇß´Ù. ±×¸®°í ÁöºÒ°ú °ü·ÃµÈ ¸í·ÉÀ» ÀÚ±âµéÀÌ »ý¼ºÇØ Àü¼ÛÇÏ°í, µ·À» ¿î¹ÝÃ¥µéÀÌ ¹Ì¸® ¸¶·ÃÇÑ °èÁ·Π¼Û±ÝÇß´Ù. À̹ø¿¡ µ¿¿øµÈ °èÁÂÀÇ ¼ö´Â 17°³À̸ç, ¿î¹ÝÃ¥µéÀº ¼Û±Ý°ú °ÅÀÇ µ¿½Ã¿¡ ATM ±â±âµéÀ» ÅëÇØ Çö±ÝÀ» ÀÎÃâÇß´Ù. 7¿ù 3~4ÀÏ »çÀÌ¿¡ ¹ß»ýÇÑ ÀÏÀÌ´Ù.
ÀÌ·¯ÇÑ »çŸ¦ ÀºÇà Á÷¿øµéÀÌ ³»ºÎÀûÀ¸·Î ¹ß°ßÇÑ °Ç 7¿ù 4ÀÏ Àú³áÀ̾ú´Ù. ÀºÇàÀº Áï½Ã AWS CBRÀÇ µðÁöÅÐ ¼¸í Å°¸¦ Â÷´ÜÇØ´Þ¶ó°í ±ÝÀ¶ ´ç±¹¿¡ ¿äûÇß´Ù. ±×·¯³ª ³Ê¹« ´Ê¾ú´Ù. µ·ÀÌ Èê·¯°¡´Â °É ¸·À» ¼ö´Â ¾ø¾ú°í, ±×·¯´Â »çÀÌ ÇØÄ¿µéÀº À¯À¯È÷ Çö±ÝÀ» ì°Ü ´Þ¾Æ³µ´Ù.
°ø°ÝÀÚµéÀº ÀڽŵéÀÌ Ä§ÇØÇÑ ÄÄÇ»ÅÍÀÇ OS ·Î±×µµ ¸»²ûÈ÷ Áö¿ö³»±âµµ Çß´Ù. ºÐ¼®°ú ÃßÀûÀ» ¸·±â À§Çؼ´Ù. ¶ÇÇÑ ÀºÇàÀÇ ÄÄÇ»ÅÍ¿¡ ¸®¹ö½º ¼Ð(reverse shell)µµ ³²°Ü ÃßÈÄ »õ·Î¿î °ø°Ýµµ °¨ÇàÇÒ ¼ö ÀÖµµ·Ï Á¶Ä¡¸¦ ÃëÇص״Ù. ±×·¯³ª ÀÌ´Â µðÁöÅÐ ¼ö»ç °úÁ¤¿¡¼ ¹ß°ßµÆ´Ù.
±×·ìIBÀÇ Æ÷·»½Ä Ã¥ÀÓÀÚÀÎ ¹ß·¹¸® º¼¸°(Valeriy Baulin)Àº ¡°¸»Àº ½±Áö¸¸ AWS CBRÀ» °ø°Ý¿¡ È°¿ëÇÑ´Ù´Â °Ç ±²ÀåÈ÷ ¾î·Á¿î ÀÏ¡±À̶ó°í ¼³¸íÇÑ´Ù. ¡°±×·¯´Ï±î ÀÌ·± ½ÄÀÇ °ø°ÝÀÌ ¿©·¯ ¹üÁËÀÚµé »çÀÌ¿¡¼ °¢±¤¹Þ´Â °Ô ¾Æ´Ñ °Ì´Ï´Ù. ½¬¿ü´Ù¸é AWS CBRÀ̳ª SWIFT °ø°Ý »óȲÀÌ Á» ´õ ¸¹¾Ò°ÚÁÒ.¡±
±×·¯³ª 2016³âºÎÅÍ ½ÃÀÛÇØ ·¯½Ã¾Æ ÀºÇàµé »çÀÌ¿¡¼´Â ÀÌ·± ½ÄÀÇ °ø°ÝÀÌ ÃÖ¼Ò ¼¼ °Ç ¹ß°ßµÆ´Ù. ƯÈ÷ 2016³â¿¡´Â ¸Ó´ÏÅ×ÀÌÄ¿°¡ ÀڽŵéÀÌ Á÷Á¢ ¸¸µç ÇÁ·Î±×·¥À» °¡Áö°í ·¯½Ã¾Æ ÀºÇàÀ¸·ÎºÎÅÍ 2¹é¸¸ ´Þ·¯¸¦ ÈÉħÀ¸·Î½á Å« ÀλóÀ» ³²°å´Ù.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>