카스퍼스키랩이 모바일 기기 데이터 탈취를 위해 악성코드로 블루투스 기기를 탐색 하는 새로운 공격 방법을 발견했다.
이번 공격 배후는 국가 차원 지원받는 한국어 사용 해킹조직 '스카크러프트(ScarCruft)'가 지목됐다. 이들 조직은 일반적으로 한국과 관련된 정부 기관, 기업을 공격 대상으로 삼는다.
카스퍼스키랩는 해당 조직은 진화를 거듭해 새로운 익스플로잇을 테스트하고 있으며 모바일 기기 데이터에 대한 관심을 보인다고 설명했다. 사이버 사보타주 활동에 합법적 도구, 서비스를 적용하는 등 교묘한 수법을 보인다.
스카크러프트 공격 양상은 스피어피싱, 전략적 웹사이트 감염 공격부터 시작한다. 이는 '워터링 홀' 공격으로 특정 방문자만 감염시키기 위해 취약점을 비롯한 여러 가지 기법을 사용한다. 이후 윈도 사용자 계정 제어(UAC) 기능을 피해가는 1단계 감염이 시작된다. 이를 통해 조직 내에서 정상적으로 배포한 합법적 침투 테스트용 코드를 사용해 더 높은 권한을 얻는다.
악성 코드는 네트워크 수준 탐지를 피하기 위해 이미지 파일에 숨기는 스테가노그래피 기법을 사용한다. 마지막 단계는 'ROKRAT' 클라우드 서비스 기반 백도어가 설치된다. 이 백도어는 공격 대상 시스템 및 기기에서 광범위한 정보를 수집해 4개 클라우드 서비스로 전송한다.
카스퍼스키랩 연구진은 이들 관심이 모바일 기기 데이터를 탈취하는 데 있으며 악성코드가 블루투스 기기 정보를 탐색하는 것을 밝혀냈다.
해당 공격 활동 피해자는 북한 관련 가능성 있는 베트남, 러시아 투자회사와 무역회사, 홍콩 및 북한 외교 기관 등이다. 감염 피해를 입은 러시아 기관 한 곳은 이전에 한국어 기반 해킹 조직인 'DarkHotel' 공격을 받은 전력이 있다.
정영일기자 jung01@etnews.com