북한 배후 해커그룹이 신종 악성코드를 이용해 정보 탈취 공격을 수행했다는 미국 정부기관 조사 결과가 나왔다.
미국 국토안보부와 연방수사국은 이런 내용을 담은 합동 조사 보고서를 지난 9일 발표했다. 보고서는 공격의 주체를 '히든코브라'로 지목했다. 히든 코브라는 북한 정부 지원을 받는 해커그룹 '라자루스'의 하위 조직이다.
히든코브라가 공격에 동원한 새 악성코드 이름은 '일렉트릭피시(Electricfish)'다. 일렉트릭피시는 32비트 윈도용 악성 실행파일이다. 출발지와 목적지 IP 주소 간 네트워크 트래픽을 처리하는 커스텀 프로토콜을 포함한 게 특징이다.
관련기사
- "중국 해커그룹, 사이버보안 취약한 한국 기간시설 노린다"2019.05.15
- "1월초 통일부 기자단 공격한 해커그룹, 아직도 활동중"2019.05.15
- 미 정부 "북한 해커가 소니 해킹 등에 관여"2019.05.15
- 북한 배후 해커그룹 라자루스, 맥OS도 노린다2019.05.15
일렉트릭 피시는 명령줄 유틸리티다. 프록시 서버와 포트 정보, 사용자명과 패스워드, 정보를 탈취하려는 내부 네트워크 트래픽의 출발지 IP와 목적지IP를 변수로 지정받아 실행될 수 있다. 이 기능은 대상 프록시 서버 내부에 위치한 시스템에 연결을 허용해, 공격자가 네트워크 밖에서 시스템에 접근할 때 필요한 인증을 우회하게 해준다.
악성코드는 인증을 우회해 내부 시스템에 연결한 뒤 내부 네트워크 트래픽의 출발지 IP 주소와 목적지 IP 주소로 TCP 세션 통신을 시도한다. 두 IP 주소간 연결이 이뤄지면, 악성코드는 커스텀 프로토콜을 통해 두 컴퓨터 사이의 트래픽을 모아 빼낼 수 있다.
