카스퍼스키랩 “트로이목마 ‘옥토퍼스’ 유포 중…관련 기관 주의 필요”

 
[아이티데일리] 중앙아시아 외교 기관을 표적으로 삼는 사이버 스파이 활동이 발견돼 관계자들의 주의가 요구된다. ‘옥토퍼스’라는 이름의 트로이목마는 널리 사용되는 합법적인 메신저로 위장해 중앙아시아에서 텔레그램 메신저가 금지될 수도 있다는 보도를 틈타 사용자를 유인하고 있다.

18일 카스퍼스키랩(한국지사장 이창훈)은 카자흐스탄 야당을 대상으로 한 텔레그램 메신저 대안 버전에서 ‘옥토퍼스’ 트로이목마를 발견했다며 이같이 밝혔다. ‘옥토퍼스’는 설치된 후에 해커가 피해자 컴퓨터에 원격 접근할 수 있는 권한을 제공한다.

오늘날 해커들은 지속적으로 최신 기술 동향을 탐색하면서 활용할 수 있는 취약점을 찾아 자신들의 수법을 수정해 개인 및 주요정보를 위협하고 있다. 이번 사례에서는 텔레그램 메신저가 금지될지 모른다는 분위기를 이용해 ‘옥토퍼스’ 트로이목마를 사용한 공격을 계획함으로써 피해자 컴퓨터에 원격 접근을 꾀했다.

공격자는 카자흐스탄 야당을 위한 텔레그램 메신저 대안 버전으로 위장한 설치 파일 안에 옥토퍼스를 숨겼다. 한 야당의 상징물로 런처를 위장하고 내부에 트로이목마를 숨겨 둔 것이다. 트로이목마가 활성화된 후에는 공격자가 감염된 컴퓨터의 데이터를 삭제, 차단, 수정, 복사, 다운로드하는 등 다양한 데이터 조작을 감행해 피해자를 대상으로 스파이 행위를 하고 민감한 데이터를 훔칠 수 있으며, 시스템에 접근할 수 있는 백도어를 확보할 수 있다.

카스퍼스키랩 연구진은 소프트웨어 코드에서 유사성을 포착하는 카스퍼스키 알고리즘을 사용해, 옥토퍼스가 더스트스쿼드(DustSquad)와 연관돼 있을 가능성을 발견했다. 더스트스쿼드는 러시아어를 구사하는 사이버 스파이 그룹으로, 2014년부터 아프가니스탄을 비롯해 구소련 지역에 해당하는 중앙아시아 국가에서 포착된 바 있다. 최근 2년 동안 카스퍼스키랩에서 탐지한 이들의 맞춤형 안드로이드 및 윈도우 악성 코드 캠페인은 총 4건으로, 개인 사용자와 외교 기관을 표적으로 삼았다.

이창훈 카스퍼스키랩코리아 지사장은 “2018년에 중앙아시아의 외교 기관을 표적으로 하는 해킹 사례가 다수 발견되고 있으며, 더스트스쿼드는 수년간 해당 지역에서 활동하고 있어 이번에 발견된 공격의 배후로도 의심된다”면서, “사이버 공격은 국경과 관계없이 모든 지역을 노릴 가능성이 있으므로 모든 지역의 사용자와 조직이 시스템을 주시하면서 직원에게도 주의를 당부해야 한다”고 말했다.

카스퍼스키랩은 이번과 같은 사이버 공격의 위험을 줄이기 위해서 ▲직원 대상 보안교육 실시 ▲애플리케이션 제어 기능이 있는 엔드포인트 보안 솔루션 사용 ▲출처를 알수 없는 앱 다운로드 및 실행 금지 등 보안 수칙을 준수해야 한다고 권고했다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지