보안업체 Avast(어베스트)의 전문가들이 국제 인권과 관련된 미국 연방 정부 위원회의 네트워크에서 백도어(Backdoor)를 발견했다고 밝혔다. 어베스트 전문가들은 이번에 발견된 백도어를 통해 공격자가 감염된 네트워크를 완벽하게 제어할 수 있다며, 이 공격을 고전적인 APT(Advanced Persistent Threat) 방식의 작업이라고 설명했다.
어베스트는 정부 네트워크를 뚫기 위한 다단계 공격에서 백도어가 초기 벡터로 사용됐을 가능성이 높다며, 아직 피해를 당했다는 증거가 발견되지는 않았지만 문제가 된 파일을 분석한 결과 공격자가 이 조직의 모든 로컬 네트워크 트래픽을 가로채고 유출할 수 있다는 결론을 내렸다. 여기에는 다른 미국 정부 기관, 국제 권리에 초점을 맞춘 국제 정부, 비정부기구(NGO)와 교환되는 정보가 포함될 수 있다.
또한 공격자가 감염된 시스템 운영 체제의 컨텍스트에서 선택한 코드를 실행하여 완전히 제어할 수 있다는 징후가 포착된 것으로 알려졌다. 어베스트는 해당 사실을 기관에 보고하지 않고 직접 공개를 결정했다.
어베스트는 공격받은 기관의 네트워크에서 공격자가 내부 시스템을 완전히 제어할 수 있도록 하는 두 개의 악성 파일을 발견했다. 전문가들이 분석한 두 샘플 모두 oci.dll이라는 오라클 라이브러리로 가장하고 있으며, 두 번째 파일은 공격의 두 번째 단계에서 첫 번째 파일을 대체하는 데 사용되었다.
이는 한국 기업의 정보 탈취를 목표로 시도됐던 ‘Operation Red Signature(오퍼레이션 레드 시그니처)’ 공격 방식과 유사하다. 특히 두 번째 버전의 oci.dll은 레드 시그니처 공격에서 사용된 rcview40u.dll과 여러 공통점을 보이므로 공격자가 공격에 사용된 멀웨어의 소스코드에 액세스할 수 있었던 것으로 추측하고 있다.
이번 백도어 발견과 관련해 피해를 입은 기관이 직접 피해 사실을 밝히지 않는 이상 더 이상의 추가 정보는 없을 것으로 보인다. 다만, 어떤 형태든 데이터 수집과 네트워크 트래픽 유출이 일어났으며, 네트워크의 완전한 가시성과 감염된 시스템의 제어가 가능했던 것으로 보인다. 이는 다단계 공격의 첫 단계 혹은 고전적인 APT 유형 공격에서 다른 네트워크에 더 깊이 침투하기 위한 과정으로 예상되지만, 이것은 어디까지나 공개된 정보에 근거한 추측일 뿐이다.
어베스트는 보고서에서 이 기관의 이름을 밝히지 않았지만, 워털루 지역 매체 더레코드(TheRecord)는 백도어가 발견된 기관을 미국 국제종교자유위원회(USCIF)로 추측하고 있다. USCIF는 해외에서의 종교와 신앙의 자유에 대한 권리를 감시하고 대통령과 국무장관, 미 의회에 정책을 권고하는 기관이다.
한편, 더레코드는 "어베스트는 위협 행위자가 접근 권한을 얻어 미국 연방정부 기관의 내부 네트워크를 백도어로 살펴봤다는 사실을 보고했다"는 기사를 보도했다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
