트위터를 이용해 명령을 내리고 활동하는 러시아 사이버 위협 그룹이 드러났다.
파이어아이코리아(대표 전수홍)는 29일 러시아 해킹 그룹 APT29를 분석한 ‘해머토스: 러시아 사이버 위협 그룹의 데이터 유출 전술’ 인텔리전스 보고서를 발표했다.
APT29는 최첨단 악성코드 해머토스(Hammertoss)를 사용해 피해자 정보를 빼돌린다. 이들은 트위터나 깃허브, 클라우드 저장소 등 합법적인 웹 서비스를 이용해 정보를 유출한다. 피해자 네트워크에서 악성코드와 정삭 트래픽을 구분하기 힘들다.
해머토스는 매일 다른 트위터 ID에 접속을 시도한다. 예를 들어 @FireEye란 트위터ID가 생성되면 https://www.twitter.com/fireeye가 만들어진다.
해머토스가 포함하고 있는 알고리즘은 매일 다른 트위터 ID에 접속을 시도한다. APT29가 해당 트위터 ID에 미리 작성한 URL에 접속해 업로드 된 이미지를 다운로드한다. 해머토스가 다운로드 한 이미지는 평범해 보이지만 스테가노그라피(steganography)라는 암호화 기술을 사용한다. APT29가 삽입한 암호화된 명령이 포함돼있다. 해머토스는 이를 복호화 하고 피해자 데이터를 클라우드 저장소에 업로드 하는 명령을 실행한다.
파이어아이 인텔리전스 팀은 APT29 해킹 그룹이 2014년부터 활동했으며, 이들이 수집하는 정보내용을 토대로 볼 때 러시아 정부의 지원을 받고 있을 것으로 추정했다. APT29는 러시아 공휴일에 활동하지 않으며 주요 활동시간을 볼 때 모스크바나 상트페테르부르크인 것을 확인할 수 있다.
박성수 파이어아이 악성코드 분석가는 “APT29의 해머토스는 트위터ID를 순환시키는 알고리즘과 이미지에 암호화 된 명령정보 삽입기술을 사용하는 등 다양한 해킹 기술을 접목했다”며 “기존에 존재했던 악성코드를 모두 조합해 피해자 네트워크에서 악성코드를 탐지하기 어려운 것이 특징이다”라고 설명했다.
김인순기자 insoon@etnews.com