뉴욕 : 1월23일, PM 05:41:57 파리 : 1월24일, AM 00:41:57 서울 : 1월24일, AM 07:41:57   시작페이지로 설정 즐겨찾기 추가하기
 
 
 
꼬리뉴스 l 뉴욕필진 l 미국필진 l 한국필진 l 세계필진 l 사진필진 l Kor-Eng    
 
꼬리뉴스
·꼬리뉴스 (11801)
·뉴스로 창(窓) (273)
·뉴스로TV (127)
꼬리뉴스
육하원칙(六何原則)?역(逆)피라미드 형식의 스트레이트 뉴스? 정형화, 제도화된 뉴스만 뉴스가 아니다. 뉴스뒤의 뉴스, 뉴스속의 뉴스를 읽자. 뉴스로에선 "꼬리뉴스"를 만날 수 있습니다. 일선에서 취재한 기자들이 전하는 생생한 뒷 이야기, 기감 없는 에피소드, 촌철살인의 한마디까지, 뉴스로 독자들은 정규뉴스 바로 뒤에 물리는 꼬리뉴스를 감상할 수 있습니다. 더 이상 틀에 박힌 뉴스는 거부합니다. 오직 뉴스로만이 가능한 꼬리뉴스에서 뉴스의 새로운 멋과 맛을 느끼십시오.

총 게시물 11,801건, 최근 2 건 안내 글쓰기
이전글  다음글  목록 글쓰기

‘北 해커집단 Lazarus 최초로 러시아 공격’ 러 일간지

글쓴이 : 김원일 날짜 : 2019-02-23 (토) 07:59:38

      

Newsroh=김원일 칼럼니스트

 

북한의 APT 공격 해커그룹인 라자러스(Lazarus)가 처음으로 러시아 소재 기업들을 대상으로 사이버 공격을 감행했다고 일간 베스티 온라인이 21일 보도했다.

 

베스티 온라인은 전문가들은 이번 경우가 전례없는 것이라고 말하고 있다. 이전에는 러시아 단체가 라자러스의 희생물이 된 적이 없었고, 주로 이 해커 그룹은 한국과 일본의 타깃을 공격해왔다고 전했다.

 

체크포인트 사의 전문가들은 해커집단인 라자러스(숨은 코브라, 평화 수호자, 징크, 니클 아카데미 및 APT38등의 이름으로 활동)차 정보보안 조사 역사상 최초로 러시아에 기반을 둔 단체들에 대한 공격을 감행했다고 밝혔다.

 

베스티 온라인은 이전까지 북한 해커들은 러시아를 공격하지 않았다. 이는 북한과 러시아가 우호적인 관계를 유지하고 있었기 때문이다라고 말했다. 다음은 보도 내용.

 

라자러스가 다수의 공격을 감행한 나라는 최소 11개국에 달한다. 이중 사이버 공격의 주요 제물이 되고 있는 것은 일반적으로 일본과 한국의 기업들이다. 그러나 이 해커들은 이전에는 러시아에 대해 한 번도 관심을 갖지 않았다.

 

체크포인트 사의 설명에 의하면 이번 악성 활동은 최근 수 주간에 걸쳐 기록되고 탐지되었다. 전문가들은 이번 러시아에 대한 해커 공격 배후(背後)가 라자러스의 산하조직인 블루노로프(Bluenoroff)인 것을 밝혀내는데 성공했다. 블루노로프는 돈을 탈취하기 위해 해킹을 하는 조직으로 2014년 소니픽처스 엔터테인먼트 서버 해킹의 배후이며 2016년 방글라데시 중앙은행의 81백만 달러 절취, 암호화폐 거래소에서 수백만 달러 강탈을 벌어온 것으로 추정되고 있다.

 

최근 1년 반 동안 라자러스 집단은 Yapizon, Coinis, YouBit, Bithumb, Coinckeck , 최소 5개의 암호화폐 거래소를 공격했다. 이들은 LAN을 감염시킨 후 이를 샅샅이 뒤져 개인 암호화폐 지갑 작업이 있었던 컴퓨터나 서버를 찾아낸다.

 

또한 이 집단은 워너크라이 랜섬웨어 감염과도 관련이 있으며, 폴란드와 멕시코 은행 공격, 미국 국방부 도급업체에 대한 피싱 공격, 남미 국가들에서 온라인 카지노에 대한 공격과도 관련이 있다. 안티바이러스 프로그램 개발 업체인 맥아피의 작년 보고서에서는 이 해커집단이 17개국에서 일련의 사이버 공격을 감행했다고 밝히고 있다.

 

새로운 보고서에서 연구원들은 고스트시크릿 작전이라는 대규모 사이버 공격에 대해 보고하고 있다. 이 사이버 공격은 결정적으로 중요한 인프라, 엔터테인먼트, 금융, 보건 및 원격 통신을 포함한 광범위한 분야의 기밀 데이터를 절취하기 위한 것이다. 해커들은 북한의 해커집단인 라자러스의 산하조직들이 활동시 사용하는 툴과 악성 프로그램을 사용했다.

 

고스트시크릿 작전은 20183월 초 몇몇 터키 금융기관들과 정부 단체들에 대한 대규모 사이버 공격에서 시작된 것으로 추정되고 있다. 미국, 호주, 일본과 중국의 서버들이 악성 코드에 감염되었고 가장 피해가 큰 곳은 태국이었다. 거의 50개의 서버가 악성 프로그램으로 큰 피해를 입었다. 이 보고서에 따르면 북한 해커들은 공격 범위를 보통 관심 갖던 범위를 벗어나 암호화폐 절취와 군사 첩보 기밀 탈취까지로 넓혀가고 있다.

 

공격은 대부분 타깃에 발송된 전자 메일을 통해 일어났다. 이 메일은 악성 아카이브 ZIP을 포함하고 있으며 그 안에는 특별히 러시아어를 사용하는 층을 대상으로 제작된 오피스와 PDF 파일이 포함되어 있다. 한 경우에는 이 메일이 러시아 회사 StarForce Technologies사의 NDA를 포함하고 있는 것으로 위장하기도 했다.

 

이 문서들에는 악성 매크로가 있으며, 이를 사용하면 VBS 스크립트를 다운로드하고 실행하게 된다. 다운로드는 자주 Dropbox에서 일어난다. VBS는 해커의 서버에서 CAB 파일을 다운로드하고 그 파일에서 EXE 파일을 추출(抽出)하여 실행시킨다. 결과적으로 해커들은 방식을 간소화했다. 워드 문서에서 매크로를 사용하여 백도어를 직접 다운로드 할 수 있게 되는 것이다.

 

어떤 러시아 기업들과 단체들이 해커들의 목표가 되었는가는 명확하지 않다. 라자러스와 발생한 사이버 공격의 연관성을 밝혀내게 된 것은 북한 해커들의 알려진 툴 키마블의 업그레이드된 버전을 밝혀내었기 때문이다. 이 백도어의 위험성에 대해서는 미국 국토안보부와 연방 수사국(FBI)의 작년 보고서에서 언급하고 있다. 체크포인트 분석가들은 결과적으로 VirusTotal 데이터에 따라 판단할 때 보안 솔루션으로 악성 코드가 거의 감지된다고 말하고 있다.

 

 

글로벌웹진 NEWSROH www.newsroh.com

 

 

<꼬리뉴스>

 

북한의 통큰 양보와 사이버전사들 (2018.7.6.)

해커들을 통해 제재를 피해가는 북한

 

http://newsroh.com/bbs/board.php?bo_table=m0604&wr_id=7762

 

 

 


이전글  다음글  목록 글쓰기
QR CODE


뉴스로를말한다 l 뉴스로 주인되기 l뉴스로회원약관  l광고문의 기사제보 : newsroh@gmail.com l제호 : 뉴스로 l발행인 : 盧昌賢 l편집인 : 盧昌賢
청소년보호책임자 : 閔丙玉 l 정기간행물 등록번호 : 경기아50133 l창간일 : 2010.06.05. l미국 : 75 Quaker Ave Cornwall NY 12518 / 전화 : 1-914-374-9793
뉴스로 세상의 창을 연다! 칼럼을 읽으면 뉴스가 보인다!
Copyright(c) 2010 www.newsroh.com All rights reserved.