메일 보내기

솔루션 검색 데모요청 TOP

RSS Feed 받기

로그인 정보로 피드받기
입력한 이메일로 피드받기

보안뉴스

유럽의 생화학 위협 대응 기관을 노리며 활동을 재개한 '올림픽 디스트로이어' 공격
 
평창 동계 올림픽 당시 개막식을 노린 파괴형 네트워크 웜바이러스 공격으로 일약 유명해진 올림픽 디스트로이어를 카스퍼스키랩에서 추적한 결과 그 배후 조직이 여전히 활동을 이어가고 있음이 확인되었다. 이들은 독일, 프랑스, 스위스, 네덜란드, 우크라이나, 러시아를 중심으로 생화학 공격 방어와 관련된 기관을 노리고 있는 것으로 보인다.

올림픽 디스트로이어는 파괴적인 네트워크 웜바이러스를 이용해 사이버 사보타주 작전으로 2018년 평창 동계 올림픽 주최측, 협력업체를 덮친 지능형 공격이다. 이 공격의 발원지를 가리키는 지표가 다양하게 나타난 탓에 2018년 2월 정보 보안 업계는 다소 혼란을 겪었다. 한 때 북한과 관계 있는 공격 집단인 Lazarus가 배후에 있음을 가리키기도 했지만 3월에 카스퍼스키랩에서 정밀 확인한 결과, 올림픽 디스트로이어는 정교하게 그 증거를 위장하였으며 Lazarus가 공격의 발원지일 가능성은 낮은 것으로 밝혀졌다. 현재 연구원들은 올림픽 디스트로이어 공격이 기존 침투 및 정찰 도구를 이용해 유럽에 있는 기관을 표적으로 다시 활동을 재개하고 있음을 포착했다.

이 공격자는 동계 올림픽 공격 준비에 사용된 공격 문서와 매우 유사한 스피어피싱 문서를 통해 악성 코드를 유포하고 있다. 피해자를 유인하는 데 사용된 문서 중에서는 Salisbury 공격 조사에서 핵심적인 역할을 한 Spiez Laboratory의 주도로 스위스에서 열린 생화학 공격 컨퍼런스인 'Spiez Convergence'를 언급하는 문서가 있었다. 어떤 문서는 우크라이나의 보건 및 축산 관리 정부 기관을 표적으로 하고 있으며 일부 스피어피싱 문서는 러시아어와 독일어로 작성되어 있다고 연구원들은 밝혔다.

악성 문서에서 추출된 모든 최종 악성 행위는 감염된 컴퓨터에 일반 액세스를 제공하도록 설계되어 있었다. 두 번째 공격 단계에서는 PowerShell Empire로 널리 알려진 무료 오픈 소스 프레임워크가 사용되었다.

공격자들은 Joomla라는 유명한 오픈 소스 컨텐츠 관리 시스템(CMS)을 사용하는 정상적인 웹 서버를 감염시켜 악성 코드를 호스팅하고 제어하는 것으로 보인다. 연구원들은 악성 페이로드를 호스팅하는 서버 중 하나가 2011년 11월에 릴리스된 Joomla 버전(v1.7.3)을 사용한다는 사실을 밝혀냈다. 이는 업데이트하지 않는 CMS가 서버 해킹에 사용될 위험이 있음을 시사한다.

카스퍼스키랩의 원격 분석과 멀티스캐너 서비스에 업로드된 파일에 따르면 올림픽 디스트로이어는 독일, 프랑스, 스위스, 네덜란드, 우크라이나, 러시아에 있는 업체에 관심을 두고 있는 것으로 보인다.

카스퍼스키랩코리아의 이창훈 지사장(www.kaspersky.co.kr)은 “올해 초 나타난 올림픽 디스트로이어의 위장 기법은 기존 공격자 추적 기법을 완전히 흔들어 놓았고 전체 그림이 아닌 눈에 드러난 일부 조각만으로 판단을 내리면 실수가 얼마나 쉽게 발생할 수 있는지 보여주었습니다. 이처럼 지능적인 위협에 대한 분석과 대책은 국가를 넘어 민간 부문과 정부 간 협력을 기반으로 해야 합니다. 카스퍼스키랩에서 공개한 연구 결과를 통해 사고 대책 담당자들과 보안 연구원들이 향후 어떤 단계에서든 유사한 형태의 공격을 빠르게 탐지하고 효과적으로 피해를 줄일 수 있기를 바랍니다.”라고 말했다.

이전에 동계 올림픽 기간 동안 벌어진 공격에서 정찰 단계는 실질적인 공세 두세 달 전에 시작되었다. 따라서, 올림픽 디스트로이어는 새로운 목적으로 유사한 공격을 준비하고 있을 가능성이 매우 높다. 생화학 공격 연구 기관의 경우 계속 경각심을 가지고, 가능한 경우 보안 실태 점검을 실시해야 할 것이다.

한편, 카스퍼스키랩 제품은 올림픽 디스트로이어 악성 코드를 효과적으로 탐지하여 차단한다.

침해 지표 및 올림픽 디스트로이어의 활동 재개에 대한 자세한 내용은 카스퍼스키랩의 보안 블로그인 Securelist.com의 게시물에서 확인할 수 있다.



카스퍼스키랩 소개
1997년 설립된 글로벌 사이버 보안 전문 회사 카스퍼스키랩은 심층적인 보안 위협 인텔리전스와 보안 전문 지식을 바탕으로 전 세계 각지의 기업, 기간 산업 인프라, 정부 및 개인 소비자에게 혁신적인 보안 솔루션과 서비스를 제공하고 있습니다. 카스퍼스키랩은 세계 최고 수준의 엔드포인트 보호 솔루션부터 다양한 특수 분야 전용 보안 솔루션 및 서비스까지 광범위한 제품 포트폴리오를 갖추고서 갈수록 정교해지는 디지털 위협에 맞서 싸우고 있습니다. 전 세계적으로 카스퍼스키랩의 기술을 통해 보호를 받는 사용자 수는 4억 명 이상이며, 27만 곳의 기업 고객이 카스퍼스키랩의 보안 서비스와 솔루션을 이용하고 있습니다.
자세한 내용은 www.kaspersky.com을 참조하십시오.
번호 제목 날짜
127 암호 화폐 채굴 악성 코드 피해자 연간 270만 명으로 44% 증가

2018.07.10 0

2018.07.10
» 유럽의 생화학 위협 대응 기관을 노리며 활동을 재개한 '올림픽 디스트로이어' 공격

디브릿지 2018.06.28 45

2018.06.28
125 2018년 1분기 4배 증가한 Microsoft Office 익스플로잇 공격

2018.06.28 0

2018.06.28
124 2018 FIFA 월드컵 개최 도시의 Wi-Fi 핫스팟 중 20% 이상에서 사이버 보안 문제 발견

2018.06.28 0

2018.06.28
123 축구팬을 농락하는 2018 FIFA 월드컵 티켓 판매 사기

2018.06.28 0

2018.06.28
122 2018년 1분기 소셜 네트워크 피싱의 60%를 차지한 가짜 Facebook 사이트

2018.06.28 0

2018.06.28
121 차세대 Kaspersky Endpoint Security for Business를 통한 사이버 보안 위험 관리

2018.06.11 0

2018.06.11
120 카스퍼스키랩 보안 교육 프로그램(악성 코드 분석 및 디지털 포렌식)

2018.05.29 0

2018.05.29
119 DNS 하이재킹 공격기법을 사용하며 공격 국가와 기능을 확장하고 있는 Roaming Mantis

2018.05.29 0

2018.05.29
118 WannaCry 공격 이후 1년, 여전히 수많은 사용자를 괴롭히는 EternalBlue 취약점

2018.05.29 0

2018.05.29
117 카스퍼스키랩, 핵심 인프라를 러시아에서 스위스로 이전 및 최초의 투명성 센터 개설

2018.05.29 0

2018.05.29
116 카스퍼스키랩, Internet Explorer에 대한 제로데이 취약점 발견

2018.05.29 0

2018.05.29
115 국제 CC 인증 취득으로 성능과 무결성을 입증한 Kaspersky Endpoint Security for Business

2018.05.14 0

2018.05.14
114 ZooPark: 정상 웹사이트를 해킹해 퍼져나가는 신종 안드로이드 악성 코드 공격

2018.05.14 0

2018.05.14
113 카스퍼스키랩 DDoS 인텔리전스 1분기 보고서: 증폭 공격과 기존 봇넷의 귀환

2018.05.14 0

2018.05.14
112 새로운 Kaspersky Cloud Sandbox로 복잡한 위협 조사 및 침해 대응 능력 향상

2018.04.25 0

2018.04.25
111 2018년 1분기 새로운 해킹 조직의 온상이 된 아시아와 중동

2018.04.25 0

2018.04.25
110 AWS Summit 및 EXPO Seoul 2018 참가 file

2018.04.16 0

2018.04.16
109 새로운 위장 전술의 대두, OlympicDestroyer가 보안 업계를 혼란에 빠트린 방법

2018.04.16 0

2018.04.16
108 금융 관련 피싱 공격의 범람

2018.04.16 0

2018.04.16