홍콩에서 친민주주의 성향 미디어를 대상으로 한 사이버 범죄 조직 실체가 들어났다. 기사 제보 등을 미끼로 악성파일을 첨부한 스피어 피싱 메일을 전송한 공격이다. 명령·제어(CnC) 통신을 위해 클라우드 스토리지 서비스 ‘드롭박스’도 악용했다.
파이어아이(지사장 전수홍)는 최근 중국 기반 사이버 범죄조직 ‘애드민@338(admin@338)’이 홍콩 미디어 기업을 대상으로 스피어 피싱 이메일을 이용한 사이버 공격을 감행했다고 13일 밝혔다.
애드민@338은 지난해 8월 신문사와 라디오, TV방송국 등 홍콩 미디어 기업체를 대상으로 악성 파일을 첨부한 스피어 피싱 이메일을 전송했다. 메일에는 2014년 홍콩 민주화 시위 ‘우산 혁명’ 기념일에 맞춰 창립하는 기독교 시민 사회 단체에 관한 내용이 담겼다. 홍콩 대학교 부총장 선거 관련 이슈 등도 언급됐다. 기자가 기사 작성에 참고할만한 자료다.
이 조직은 CnC 통신을 위해 드롭박스를 악용하는 악성코드 ‘로우볼(LOWBALL)’을 사용했다. 파이어아이가 해당 해킹 활동을 드롭박스에 경고, 로우볼 관련 접근 토큰은 현재 차단된 상태다.
파이어아이는 중국 사이버 범죄조직 다수가 아시아 지역 미디어 기업을 대상으로 감행한 공격을 모니터링 했다. 주로 홍콩 기반, 친민주주의 성향 언론에 공격이 집중된 것으로 분석했다. 대만과 동남아시아 등 여러 국가 기자가 공격 대상이 됐다.
브라이스 볼랜드 파이어아이 아태지역 수석기술전문가는 “아시아 지역 기자는 기사를 위한 정보를 여러 소스에서 가져오기 때문에 사이버 범죄자에게 손쉬운 타깃이 된다”며 “(기자가) 보유한 정보와 취재원은 사이버 범죄자에게 매력적인 정보”라고 경고했다.
박정은기자 jepark@etnews.com
