Home > 전체기사
미국 제재 받고 있는 러시아 기업, 고급 멀웨어 개발자인 듯
  |  입력 : 2019-07-25 13:32
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
이제까지 본 적 없을 정도로 높은 수준 가지고 있는 멀웨어, 모노클
여러 가지 정황상 러시아의 스페셜 테크놀로지 센터라는 기업이 만든 듯해


[보안뉴스 문가용 기자] 러시아의 2016년 미국 대선 개입 행위를 도왔다는 혐의를 받고 미국 정부의 제재 대상이 된 한 기업이 고급 스파이웨어를 개발한 것으로 나타났다. 얼마나 고급이냐면, 보안 전문가들이 이제껏 한 번도 본 적이 없는 성능을 발휘한다고 할 정도다.

[이미지 = iclickart]


우선 이 스파이웨어의 이름은 모노클(Monokle)이다. 모노클에 대해 처음 공개한 보안 업체 룩아웃(Lookout)에 의하면, 이 놀라운 공격 도구가 실제 처음으로 개발된 건 2015년의 일이라고 한다. 샘플이 발견되기 시작한 건 2016년 3월부터였는데, 2018년 전반기에 특히 급증했다. 그러나 활동 범위는 크게 제한적이라, 소극적으로까지 보일 정도였다. 룩아웃은 정말 필요한 때, 고급 표적 공격에서만 조심스럽게 사용된 무기일 것이라고 분석한다.

감염은 피해자들이 정상적으로 보이는 가짜 안드로이드 애플리케이션을 다운로드 받으면서 시작된다. 물론 이 애플리케이션은 정상 기능에 더해 트로이목마 기능까지 갖추고 있는 것이다. 룩아웃은 이 ‘가짜 앱’들의 이름과 기능 등을 분석해 “주로 카프카스 산맥 부근 지역에 있는 안드로이드 사용자들을 감시하는 데에 모노클이 주로 사용되는 것으로 보인다”고 말한다. 혹은 아흐아르 알샴(Ahrar al-Sham)이라는 무장 세력에 관심이 있는 자들이 공격 대상일 수도 있다고 한다. 아흐아르 알샴은 현 시리아 정부를 반대하는 세력이다.

“주로 우즈벡챗(UzbekChat)이나 아흐아르 맵스(Ahrar Maps)와 같은 앱으로 위장되어 있었습니다. 우즈벡챗은 우즈베키스탄 근처 지역의 사용자들이 사용하는 채팅 앱이고, 아흐아르 맵스는 아흐아르 알샴과 관련이 있는 서드파티 웹사이트를 통해서만 제공되는 앱입니다. 그 외에는 전 세계적으로 국가 구분 없이 유명한 스카이프(Skype), 시그널(Signal), 폰허브(Pornhub)와 같은 앱들로 위장되어 있는 경우도 많았습니다. 영어 이름을 가진 경우도 있었고, 아라비아어나 러시아어로 번역된 것들도 있었습니다.”

모노클은 원격 접근 툴(RAT)와 비슷한 방식으로 작동한다. 대신 기존 RAT보다 훨씬 더 발전된 데이터 및 미디어 추출 기능을 가지고 있다.
1) TLS와 SSL로 보호된 트래픽에도 중간자 공격을 실시할 수 있다. 공격자들이 직접 조작한 악성 인증서를 장비 내 기존 인증서에 덮어서 설치하기 때문에 가능하다. 룩아웃은 이런 공격을 실제로 실시하는 경우를 처음 봤다고 말한다.

2) 안드로이드의 접근성 서비스를 적극 남용한다. 그리고 이를 통해 다른 앱으로부터 데이터를 수집 및 수거, 추출한다. 특히 화면에 현재 나타나고 있는 텍스트를 읽어서 정보를 빼내기도 한다. 그렇다는 건 워드, 구글 독스, 페이스북, 왓츠앱, 스냅챗 등의 앱도 위험하다는 것이다.

3) ‘자동 완성’을 위해 저장된 단어들을 빼낸다. 이 단어들을 통해 사용자의 성격이나 습관, 취미, 은밀한 비밀 등을 파악하는 게 가능하다.

4) 사용자가 화면 잠금을 해제할 때 화면 캡처를 할 수 있다. 즉 비밀번호나 패턴 등에 대한 정보가 유출될 수 있다.

5) 저장된 연락처 정보, 통화 내역, 브라우저 히스토리, 달력 정보를 가져가며 사용자 비밀번호를 평문으로 추출할 수도 있다. 통화 내용과 환경 소리도 녹음할 수 있고, 계정과 계정 비밀번호를 가져갈 수 있게 되며, 이메일, 스크린샷, 위치 정보, 가까운 위치에 대한 정보도 빼낸다. 가까운 기지국도 파악한다.

이렇게 다양한 기능을 가진 모노클은 누구의 작품일까? 룩아웃은 러시아의 방산 업체인 스페셜 테크놀로지 센터(Special Technology Centre)를 지목한다. 2016년 오바마 미국 전 대통령이 “러시아 첩보 기관인 GRU를 지원하고 도왔다는 물증을 가지고 있다”며 제재를 시작한 기업이다. 민주당 해킹으로 유명한 팬시베어(Fancy Bear) 역시 GRU의 지원을 받고 있는 것으로 알려져 있다.

룩아웃의 보안 전문가들이 스페셜 테크놀로지 센터를 꼽은 이유는 C&C 인프라와 서명 시 사용하는 인증서가 같기 때문이다. 또한 모노클과 스페셜 테크놀로지 센터의 개발자 이름이 일부 겹친다고 한다. “모노클은 최근 사이버 범죄자들과 국가 지원 해커들이 모바일에 집중하고 있다는 걸 적나라하게 보여주는 증거입니다. 그리고 그 수준이 어느 정도에까지 올랐는지도 드러내고 있죠.”

룩아웃의 기술 보고서는 여기(https://www.lookout.com/documents/threat-reports/lookout-discovers-monokle-threat-report.pdf?utm_source=BL&utm_medium=BL&utm_campaign=WW-MU-MU-MU-MU-P_NON-&utm_content=WP_Monokole%20.xml)서 열람이 가능하다.

3줄 요약
1. 미국 대선에 대한 개입 의혹 때문에 미국 정부로부터 제재를 받고 있는 러시아 기업, 새 고급 멀웨어의 주인인 듯.
2. 고급 멀웨어의 이름은 모노클로, 현재까지 한 번도 보지 못했던 기능들을 가지고 있음.
3. 모바일 멀웨어의 수준, 하루가 다르게 높아지고 있다는 것 경계해야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)