캄보디아 선거 관련 공격 탐지

 
[아이티데일리] 파이어아이(FireEye)는 중국 사이버 첩보조직인 템프페리스콥(TEMP.Periscope)의 활동 범위를 조사한 결과, 캄보디아의 선거 시스템과 관련된 다수의 기업체에 위협을 가하는 등 캄보디아 정치 현황에 관심을 보이고 있다고 12일 밝혔다. 또한, 캄보디아 선거 이외에도 동아시아, 미국, 유럽 등 전세계에 걸쳐 사이버 공격을 진행하고 있는 것으로 나타났다.

템프페리스콥은 오는 29일에 열릴 총선을 관리하는 캄보디아 정부 기관에 위협을 가할 뿐만 아니라 반대세력도 노리고 있는 것으로 보인다. 템프페리스콥은 미국의 방위산업기지와 유럽의 화학회사 등을 대상으로 한 다양한 공격 활동에도 동일한 악성 인프라를 사용했다. 이런 활동은 템프페리스콥이 광범위한 침입구조 및 다양한 악성 툴을 통해 대규모의 피해자를 겨냥하고 있는 것으로 추정된다.

템프페리스콥은 2013년경부터 활동하기 시작했으며, 주로 해양 관련 엔지니어링 회사, 해운업, 제조업, 방위산업, 정부기관 및 학술조사 대학교 등을 공략해왔다. 이 조직은 전문 컨설팅 서비스, 하이테크 산업, 헬스케어, 매체 및 출판 기관 등을 공격 대상으로 삼은 경우도 있었다.

파이어아이는 템프페리스콥이 통제하는 것으로 의심되는 세 개의 인터넷 공개 목록의 파일을 분석했으며 이를 통해 조직의 목적, 공격 전략 및 수많은 기술 검증에 대한 정보를 확인했다. 세 가지 서버 모두 인터넷에 공개된 목록으로, 자격 정보가 없더라도 접근할 수 있었다. 공개된 공격 전략은 늦어도 2017년 4월경부터 캄보디아 선거에 가장 집중하고 있는 현재 시점까지 포함된 것으로 보인다.

세 개 서버의 로그를 조사한 결과, 중국 하이난에서 잠정적 사이버 공격자의 IP주소를 추적할 수 있었다. 또한 다양한 지역에 걸쳐 교육, 항공, 화학, 방위, 정부, 해양 및 기술 산업 분야 등의 피해 조직을 노린 악성코드와 컨트롤 체크인(control check-in)에 대한 정보도 발견했다. 서버의 파일들은 기존에 이미 확인된 악성코드인 ‘에어브레이크(AIRBREAK)’, ‘스캔박스(SCANBOX)’를 비롯해 ‘대드보드(DADBOD)’ 등 새로운 악성코드도 포함한다.

‘에어브레이크 다운로더’는 자바스크립트 기반의 백도어 툴로, 공격받은 웹사이트의 감춰진 문자열로부터 명령어를 추출해 공격자에게 통제권을 제공한다. 중국 기반의 사이버 첩보 조직이 주로 사용하는 ‘스캔박스’는 공격자의 정찰 활동을 돕는 프레임워크로, ‘스캔박스’가 심어진 웹사이트를 방문하는 이용자의 시스템을 감염시키는 기능을 가지고 있다.

템프페리스콥의 최근 활동과 관련 데이터에 대한 파이어아이의 분석 결과, 이 조직은 중국에 기반하고 있을 가능성이 높은 것으로 나타났다. 파이어아이의 근거로 제시한 내용은 ▲제어판 액세스 로그에서 발견한 정보를 통해 공격자가 중국에 있으며 중국어로 설정한 컴퓨터를 사용 중인 것을 확인 ▲서버의 로그 확인 시, 공격자가 사용한 IP 주소 중 ‘112.66.188.xx’라는 중국 하이난의 IP주소 식별 등을 들었다.

파이어아이 관계자는 “앞으로 템프페리스콥이 더 넓은 범위의 정부기관, 국제기구 및 민간산업을 공략할 것”이라고 예측했다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지