트위터 사용한 러시아 해킹그룹 활동 내역 공개

파이어아이, APT29 관련 인텔리전스 보고서 발표

컴퓨팅입력 :2015/08/06 10:52

황치규 기자

트위터, 오픈소스 제공 사이트인 깃허브, 클라우드 스토리지 등 합법적인 웹서비스를 활용해 사용자들을 공격하는 러시아 해킹 그룹 APT29의 활동 내역이 공개됐다.

지능형 사이버 공격 방어 기술 제공 업체 파이어아이(지사장 전수홍)는 최근 러시아 해킹 그룹 APT29에 대한 내용을 밝힌 ‘해머토스: 러시아 사이버 위협 그룹의 데이터 유출 전술(HAMMERTOSS: Stealthy Tactics Define a Russian Cyber Threat Group)’ 인텔리전스 보고서를 공개했다.

보고서에 따르면, APT29는 최첨단 악성코드 툴인 해머토스(Hammertoss)를 사용해 피해자의정보를 빼돌리고 있는 것으로 밝혀졌다. 파이어아이 연구진들은 이들이 정보를 빼돌리는 데 사용한 것은 트위터, 깃허브(GitHub), 클라우드 스토리지 등 합법적 웹 서비스이기 때문에 피해자 네트워크 상에서 악성코드와 합법적 트래픽을 구분하는 것이 다른 해킹공격보다 더 어렵다고 전했다.

해킹팀 해킹 사건의 파장이 점점 커지고 있다.

파이어아이에 따르면 해머토스는 매일 다른 트위터 핸들에 접속을 시도하는 알고리즘에 기반한다. 트위터 핸들이란 트위터 계정과 연계된 사용자ID다. @FireEye란 트위터 핸들이 생성될 경우 https://www.twitter.com/fireeye란 트위터 계정이 만들어진다. 해머토스가 포함하고 있는 알고리즘은 매일 다른 트위터 핸들에 접속을 시도하며, APT29가 해당 트위터 핸들에 미리 작성해 놓은 URL에 접속하여 업로드 된 이미지를 다운로드했다.

관련기사

해머토스가 다운로드 한 이미지는 평범해 보이지만 스테가노그라피(steganography)라는 암호화 기술을 사용해 APT29가 삽입한 암호화된 명령이 포함했다. 해머토스는 이를 복호화 하고 피해자 데이터를 클라우드 스토리지에 업로드 하라는 명령을실행한다.

파이어아이 인텔리전스 팀은 APT29 해킹 그룹이 2014년부터 활동했으며, 이들이 해킹을 통해 수집하는 정보내용을 토대로 볼 때러시아 정부의 지원을 받고 있을 것으로 추정했다. 이들은 러시아 공휴일에 활동하지 않았을 뿐 아니라 주로 활동한 시간을 협정세계시(UTC) 기준으로 추정해 볼 때 모스크바나 상트페테르부르크에서 활동한 것을 것을 확인할 수 있었다고 덧붙였다.