팔로알토네트웍스가 자사의 보안 정보 팀인 ‘유닛 42(Unit 42)’가 동남아시아 지역 정부 기관 및 군사 조직을 타깃으로 하는 사이버 공격인 ‘로터스 블로썸(Lotus Blossom)’을 확인했다고 밝혔다.
로터스 블로썸 공격은 최소 지난 3년 전부터 홍콩과 대만, 베트남, 필리핀, 인도네시아를 타깃으로 이뤄져 온 것으로 추정되고 있으며 현재까지 확인된 공격 건수는 50건을 상회한다.
모든 공격에 자체 개발한 트로이 목마(Trojan) ‘엘리스(Elise)’를 사용했으며 스피어-피싱(spear-phishing) 이메일을 통해 타깃 시스템에 대한 거점을 확보하는 방식으로 공격을 실시하고 있는 것으로 분석됐다.
팔로알토네트웍스는 엘리스가 타깃 공격을 실행하는데 필요한 요건을 갖췄을 뿐 아니라 타깃 공격과 관계가 없는 다른 공격에도 사용될 수 있도록 설계돼 있는 것으로 추정하고 있다.
자체 제작한 툴과 광범위한 리소스들을 사용해 수년간 지속되고 있는 이 공격은 조직적인 자금력을 배후에 두고 있을 가능성이 제기되고 있으며 공격의 특징들을 봤을 때 동남아시아 정부 및 군사조직과 외교적 이슈가 있는 국가의 지원을 받는 사이버 스파이의 소행으로 분석된다.
라이언 올슨(Ryan Olson) 팔로알토네트웍스 유닛 42(Unit 42)팀 인텔리전스 디렉터는 “로터스 블로썸에서 사용하고 있는 트로이 목마의 백도어 및 취약성은 최첨단의 기법을 사용한 것으로 보이지 않지만 이처럼 최신의 공격이 아닐지라도 실제 공격이 이뤄졌거나 민감한 데이터에 접근하게 됐을 때 이에 따른 영향은 치명적일 수 있다”며 “이에 보안 환경을 지속적으로 검토하고 사이버 공격에 대한 선제 방어 대책을 세우지 않으면 언제든 공격에 노출될 수 있음을 인지해야 한다”고 말했다.
팔로알토네트웍스는 사이버 위협 선제 방어를 위한 보안 인텔리전스 서비스인 자사의 오토포커스(AutoFocus)를 활용해 이번 공격을 탐지했다. 오토포커스는 팔로알토네트웍스 APT방어 및 대응 솔루션인 와일드파이어(WildFire)를 사용하는 6000여 고객사와 다른 분석 자료들로부터 수집된 다양한 보안 사고들의 상관관계를 분석하고 그 자료를 고객사에 제공함으로써 위협에 선제적으로 대응할 수 있게 하는 서비스다.
팔로알토네트웍스 위협 대응 솔루션(Palo Alto Networks Threat Prevention) 및 와일드파이어 고객들은 자동으로 선제 대응 및 보호 체계를 갖춰 공격을 차단할 수 있으며 상세 리포트를 통해 네트워크 침입 흔적 식별 및 보안 제어에 필요한 관련 지표를 확인할 수 있다.
