몇몇 정부와 사법 당국에 '합법적 스파이웨어'를 판매한 것으로 알려진 Hacking Team에서 보유하던 자료의 유출 사고 이후, 수많은 사이버스파이 단체가 유출된 툴을 역으로 활용해 공격을 감행하기 시작해 기업에서 사이버보안이 더욱 중요해졌다.
한 예로 최근 어도브 플레쉬 플레이어와 윈도 운영 체제 취약점을 겨냥한 익스플로러 공격을 들 수 있으며 특히 악명 높은 사이버스파이 단체 ‘다크호텔(Darkhotel)'에서 이러한 취약점을 악용하고 있는 것으로 밝혀졌다.
다크호텔은 2014년에 카스퍼스키랩(Kaspersky Lab)의 전문가들이 찾아낸 최정예 스파이 단체로, 고급 호텔의 와이파이 네트워크에 침투해 특정 기업 임원들에게 접근한 것으로 유명하다.
카스퍼스키랩측은 “다크호텔은 지난 수년에 걸쳐 6건 이상의 어도브 플레쉬 플레이어를 대상으로 한 제로데이 공격을 한 것으로 추정하고 있다”고 전했다.
또 “2015년에는 다크호텔 단체가 한국과 북한, 러시아, 일본, 방글라데시, 태국, 인도, 모잠비크, 독일을 대상으로 스피어피싱 공격을 지속적으로 감행하고 있으며 그 지역 범위를 점점 넓혀가고 있다”고 경고했다.
카스퍼스키랩에서는 약 8년 동안 활동해 온 APT(지능형 지속 공격) 스파이 단체인 다크호텔의 새로운 활동과 기술을 공개했다. 2014년까지 탈취한 코드 사인 인증서를 도용하고 보기 드물게 호텔 와이파이에 침투해 기업 임원 등 공격 대상의 컴퓨터에 스파이 툴을 설치하는 방법을 사용해왔다.
2015년에도 이러한 기법과 활동은 여전히 많이 사용되고 있지만 다양한 신종 악성 코드, 지속적인 인증서 도용, 끈질긴 사회 공학적 기법, 그리고 해킹팀이 사용한 제로데이 취약점 활용과 같은 공격 방식이 추가로 들어났다.
다크호텔은 탈취한 인증서를 비축하는 것으로 보이며 탈취한 인증서로 서명된 다운로더와 백도어를 배포해 안전한 파일로 가장한 후 공격 대상자를 속이고 침투한다. 최근에 폐기된 인증서 중에 Xuchang Hongguang Technology Co. Ltd.의 것도 포함되어 있는데 이전 공격을 수행할 때 다크호텔이 이용한 것으로 밝혀졌다.
또 다크호텔의 APT 공격은 집요하기로도 유명하다. 만약 공격 대상에 대한 피싱 공격이 실패했더라도 수개월 후 다시 피싱 공격을 시도한다.
카스퍼스키랩측은 “다크호텔은 취약한 웹사이트에서 호스팅되는 새로운 어도브 플레쉬 플레이어 취약점을 이용해 최근 다시 나타났다. 이번에 해킹팀의 유출된 취약점을 활용한 것으로 보인다”며 “지난 몇 년 간 비축된 플래쉬 제로데이와 하프데이 취약점을 사용하고 있는 것으로 보이며 정교한 공격을 감행하기 위해 더 많은 취약점들을 보유했을 수도 있다. 공격 대상자는 CEO, 상무, 영업과 마케팅 부장, R&D 수석 연구원 등이었다”라고 말했다.
