미국, 영국, 독일, 프랑스, 중국, 중동 등 31개국 정부기관, 대사관, 에너지 회사 등을 노린 초대형 악성코드 '마스크'가 발견됐다.
과거 발견된 스턱스넷, 프레임 등과 마찬가지로 마스크는 공격 규모나 수법 면에서 국가 차원에서 제작된 것으로 추정된다.
10일(현지시간) 미국 지디넷은 카스퍼스키랩이 10일~11일까지 도미니카 공화국에서 개최하는 '2014 카스퍼스키 시큐리티 애널리스트 서밋'에서 이 같은 내용을 공개했다고 보도했다.
마스크는 스페인어로 '카레토(careto)'로 불린다. 실제로 악성코드 내에서는 'careto'라는 문구가 사용됐다. 사전적 의미로 이 단어는 멍청한 얼굴 혹은 마스크를 뜻한다.
카스퍼스키랩 보고서에 따르면 이 악성코드는 지난 2007년부터 등장하기 시작해 올해 2월까지 31개국에서 사용하는 1천개 IP주소 중 380명을 공격한 것으로 조사됐다. 공격대상은 정부 기관, 재외 공관, 대사관, 에너지/석유/가스 회사, 연구소, 사모펀드, 저명한 활동가 등이다.
카스퍼스키랩은 마스크가 사용자들을 악성코드에 1차 감염시키기 위해 악성 이메일에 '가디언', '워싱턴포스트', '유튜브' 링크를 첨부한 형태로 보내는 수법을 악용했다고 설명했다.
마스크는 감염된 시스템으로부터 광범위한 문서를 수집한다. 암호화된 키, 가상사설망(VPN) 설정, 시큐어셀(SSH) 키, 원격 데스크톱 프로토콜(RDP) 파일 등 보안관련 파일이나 설정 내역이 포함된다.
이 악성코드에 감염된 사용자 PC는 악성 웹사이트로 접속하도록 유도된다.
특이한 점은 방문하면 바로 악성코드 감염이 이뤄지도록 구성하는 대신 해당 웹사이트 내 특정 폴더를 통해 익스플로잇(취약점 공격툴)을 감염된 PC에 호스팅 한다. 이런 방식은 전에 등장하지 않은 수법이다.
공격자들은 가디언, 워싱턴포스트 등의 서브도메인 주소로 위장해 사용자들이 눈치채지 못하도록 하기도 했다. 스페인 등 나라에서 이 같은 공격 수법이 발견됐다. 이밖에도 구버전 카스퍼스키랩 제품을 우회하는 공격을 수행했다.
카스퍼스키랩에 따르면 이 악성코드는 공격을 탐지하기가 매우 어렵다. 운영체제(OS)가 실행되기 전 단계에 루트킷 형태로 악성코드가 설치되기 때문이다.
공격 대상에게는 루트킷, 부트킷과 함께 32/64비트 윈도버전, 맥 OS X, 리눅스, 안드로이드, iOS 등 현재 사용되고 있는 주요 OS를 모두 공격할 수 있는 것으로 나타났다.
더구나 마스크는 모듈 형태로 이뤄졌기 때문에 플러그인, 설정파일 등을 포함해 다양한 기능을 악성코드에 추가적으로 업로드할 수 있다. 이를 통해 다른 악성행위를 할 수 있도록 제작된 것이다.
어도비 플래시 플레이어 익스플로잇(CVE-2012-0773)은 마스크 공격에도 악용됐다. 이 익스플로잇은 구글 크롬에 적용되는 샌드박스를 우회하는 취약점 공격에 적용된 바 있다.
카스퍼스키랩에 따르면 사이버 스파이툴은 지난해부터 지속적으로 발견되고 잇다. 지난해 초 발견된 '붉은 10월(RedOctober)'은 대사관을 노린 사이버 첩보 행위를 수행한 바 있다. 같은 해 6월에는 '넷트레블러', 9월에는 '킴수키' 등 유사 악성코드가 발견됐다.
마스크에 대해 카스퍼스키랩 보안연구원들은 복잡성 차원에서 듀큐와 유사해 지능형지속가능위협(APT) 공격에 최적화된 것으로 분석했다. 과거 중동에서 발견된 사이버 스파이툴 '프레임'과 마찬가지로 마스크는 사이버 첩보를 위해 개발된 강력한 모듈 형태의 툴이다.
복잡성이나 규모 면에서 마스크는 과거 발견된 스턱스넷 등과 마찬가지로 국가 차원에서 지원을 받고 있는 것으로 추정된다.
카스퍼스키랩은 이밖에도 확인되지 않은 툴에 대한 정보를 수집하는 것을 발견했다며 군/정부 관련 암호화 툴과 관련된 것으로 추정된다고 밝혔다.
관련기사
- 사우디-이스라엘, 차세대 스턱스넷 개발 의혹2014.02.11
- "러시아 핵발전소도 스턱스넷 감염됐다"2014.02.11
- 멀웨어 '붉은10월' 5년째 정부 등 기관 노려2014.02.11
- 중동 사이버전 무기 '플레임', 美-이스라엘 작품2014.02.11
이 회사는 현재 잘 알려진 마스크 관련 C&C서버들은 오프라인 상태이며 활동하고 있는 서버들은 없다고 밝혔다. C&C서버는 해커들이 감염시킨 PC에 공격명령을 내리거나 추가적인 악성코드를 유포하고, 탈취한 정보를 저장하는 등의 역할을 수행한다.
새로 발견된 마스크가 스페인어를 사용했다는 점에서 이 나라 해커들이 만든 것이 아니냐는 추정이 나오고 있으나 각 나라별로 다른 언어를 활용한 사례들이 있다는 점으로 봤을 때 아직 어느 나라 소행인지는 확신할 수 없는 실정이다.
