Home > 전체기사
북한 라자루스, 러시아 해커들과의 협력 체계 이루고 있다
  |  입력 : 2020-09-17 10:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
북한과 러시아 해커들과의 협력 체계 의심하는 보고서 추가로 발표돼
평범한 해커들로서는 접근하기 힘든 단체들끼리의 파트너십 성사된 듯


[보안뉴스 문가용 기자] 보안 첩보 전문 회사인 인텔 471(Intel 471)이 북한 해커들과 러시아 해커들 사이의 협력 관계에 대한 추가 증거 자료를 찾아냈다고 발표했다. 발표에 의하면 북한의 라자루스(Lazarus)라는 APT 단체가 러시아 사이버 범죄자들 중 드리덱스(Dridex)와 트릭봇(TrickBot)을 운영하는 자들과 긴밀한 관계를 유지하고 있다고 한다.

[이미지 = utoimage]


드리덱스를 운영하는 자들은 TA505 혹은 이블코프(Evil Corp.)라고 불린다. 이들은 몇 년 전 록키(Locky)라는 랜섬웨어를 활용해 공격하기도 했었다. 그 외에도 코발트 스트라이크(Cobalt Strike), 도플페이머(DoppelPaymer), 플로드애미(FlawedAmmyy), 서브헬퍼(ServHelper), 에스디비봇(SDBbot)과 같은 멀웨어들을 개발 및 운영하기도 했었다.

트릭봇을 운영하는 자들의 경우, 예전에 다이어(Dyre)라는 트로이목마를 운영한 적이 있었던 자들로 추측된다. 트릭봇은 4년 전 처음 발견된 것으로, 최근에는 미국과 홍콩의 통신사들을 겨냥한 공격에 활용하기도 했었다.

이 두 조직이 이처럼 유명한 멀웨어들을 오랜 시간 운영해 왔다는 건 공격 인프라가 탄탄히 갖춰져 있다는 뜻이다. 또한 공격 인프라가 최근 몇 년 동안에는 사이버 범죄자들의 중요한 사업 아이템이 되기도 했었다. 인텔 471은 “최근 북한의 공격자들이 자신들의 멀웨어를 러시아 해커들의 공격 인프라를 통해 배포했을 가능성이 매우 높다”고 썼다.

TA505나 트릭봇 운영자들이나 사이버 범죄자들 사이에서는 최고 수준의 조직들로 인정받고 있다. 라자루스도 APT 단체들 사이에서는 꽤나 유명하고 잘 알려져 있다. 사이버 범죄자들 사이의 파트너십이 그 세계에서의 유명도와 신뢰도에 크게 좌지우지 된다는 것을 생각했을 때 라자루스와 러시아 해킹 단체의 파트너십은 충분히 존재할 수 있다. 특히 트릭봇은 신뢰할 수 있는 파트너들에게만 멀웨어를 유료로 제공하는 것으로 알려져 있다.

“트릭봇과 함께 일하려면 사이버 범죄자들의 세계에서 거의 최고 수준의 유명세와 신뢰도를 갖추고 있어야 합니다. 트릭봇에 대해서 알고 싶다거나 관계자에게 문의를 넣어보는 것조차도 어마어마한 실적을 쌓아야 가능하죠. 범죄 시장에서 오랜 기간 활동하고 제품을 거래하는 등의 활동이 누적되어야 겨우 트릭봇과 얘기할 자격이 생길까 말까 합니다.” 인텔 471의 설명이다. 라자루스는 세계적인 관심을 모은 대형 사고를 일으킨 단체라 트릭봇으로서도 충분히 신뢰할 만한 조직이다.

실제 최근 라자루스는 이모텟(Emotet)과 트릭봇 공격자들이 감염시킨 시스템들을 추가로 감염시키며 파트너십 의혹을 일으키기도 했다. NTT 시큐리티(NTT Security)와 센티넬원(SentinelOne)도 보고서를 통해 라자루스의 고유 멀웨어인 파워브레이스(PowerBrace)와 파워라탕크바(PowerRatankba)가 트릭봇 네트워크를 통해 퍼졌다고 주장했었다. 그러면서 라자루스가 트릭봇의 고객일 가능성이 높다고 점쳤었다. 여기에 인텔 471도 보고서를 발표하며 “북한과 트릭봇 운영자들 사이에 연결고리가 있는 것이 분명하다”고 주장했다.

한편 미국의 사이버 보안 담당 기관인 CISA는 보고서를 통해 TA505의 활동 범위와 북한 라자루스의 그것이 상당 부분 겹친다는 내용의 보고서를 발표한 바 있다. 그러면서 “TA505를 라자루스가 고용했거나, 라자루스가 TA505의 고객일 가능성이 높다”고 제시하기도 했었다. 인텔 471은 이 부분에 대해 “어느 정도 겹치는 부분이 있는 건 사실이나 최근에는 두 조직 간 협력의 모습을 찾는 게 어렵다”고 보고서에 썼다.

그렇다고 라자루스가 트릭봇이나 드리덱스 등을 통해서만 공격을 실시하는 건 아니라고 인텔 471은 강조했다. “라자루스는 다양한 방법을 사용해 여러 조직들을 공격할 수 있는 단체입니다. 트릭봇이나 TA505는 그들의 여러 가지 방법들 중 일부에 불과할 뿐이죠. 다만 앞으로 트릭봇이나 드리덱스, 이모텟이 탐지되었다면 북한의 추가 공격도 의심해야 하는 상황인 것은 분명합니다.”

3줄 요약
1. 러시아의 해킹 단체들 중 드리덱스와 트릭봇 운영자들은 상위 1%의 엘리트들.
2. 이들과 파트너십을 맺어 활동하기란, 하늘의 별따기 수준.
3. 그런데 그 어려운 걸 해낸 라자루스. 북한 해커들의 유명세도 만만치 않기 때문.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상