러시아 언어를 구사하는 악명 높은 사이버 스파이 그룹인 Turla를 조사하는 도중 카스퍼스키랩 연구진은 Turla의 활동과 그 물리적 위치를 은닉하며 탐지되지 않을 수 있었던 이유를 밝혀냈다.
카스퍼스키랩에 따르면 철저히 정체를 숨기기 위해 그간 Turla는 글로벌 위성 네트워크의 보안 취약점을 활용한 것으로 드러났다.
Turla는 고도로 정교화된 사이버 스파이 그룹으로 지난 8년 이상 꾸준히 활동해 왔다. Turla 사이버 스파이 그룹은 카자흐스탄, 러시아, 중국, 베트남, 미국을 비롯해 45개 이상의 국가에서 수백대의 컴퓨터를 감염시켰다.
공격 대상 조직의 유형으로는 정부 기관과 대사관, 군대, 교육 기관, 연구 조사 기관, 제약 회사 등이 있다. 초기 단계에서는 Epic 백도어가 공격 대상의 프로파일링을 시작한다. 그런 다음 중요도가 높은 공격 대상에 한해 공격자가 다음 단계에서 광범위한 위성 기반 통신 메커니즘을 사용한다. 이는 활동의 흔적을 감추는 데 사용된다.
위성 통신은 대개 TV 방송과 보안 통신에 사용되는 것으로 알려져 있지만 인터넷 액세스 제공의 역할도 하고 있다. 인터넷 연결이 불안정하거나 느리거나 아예 사용할 수 없는 외딴 지역에서 주로 위성 통신을 통한 인터넷 액세스 서비스가 사용된다. 위성 기반 인터넷 연결 중 가장 널리 사용되면서도 저렴한 방식은 다운스트림 전용 연결이다.
이 경우 사용자 PC의 송신 요청은 기존 회선(유선 또는 GPRS 연결)을 통해 전달되고 모든 수신 트래픽은 위성을 통해 들어온다. 이 기술로 사용자는 비교적 빠른 속도로 다운로드를 실행할 수 있지만 한 가지 단점이 있다.
모든 다운스트림 트래픽이 암호화되지 않은 상태로 PC로 돌아온다는 점이다. 굳이 비싼 장비나 소프트웨어를 사용하지 않더라도 적절한 장비만 있으면 누구나 악의를 가지고 간단하게 트래픽을 가로채어 사용자가 다운로드한 링크의 모든 데이터에 액세스할 수 있다.
Turla 그룹은 이러한 취약점을 다른 방식으로 활용한다. 악성 코드 인프라에서 가장 중요한 부분인 C&C(명령/제어) 서버의 위치를 숨기는 데 사용한 것이다. C&C 서버는 공격 대상 시스템에 배포된 악성 코드의 ‘본거지’와도 같다. 이러한 서버의 위치를 찾아내면 조사자가 공격 배후의 행위자에 대한 상세 정보를 파악할 수 있다.
Turla 그룹은 이러한 위험을 피해간 방법을 살펴보면 먼저 위성의 다운스트림을 ‘수신’해 온라인에 접속 중인 위성 기반 인터넷 사용자의 IP 주소를 파악한다. 그런 다음 C&C 서버를 숨기는 데 사용할 온라인 IP 주소를 선택한다. 이 모든 과정은 실제 정상 이용자는 모르는 상태로 진행된다.
이제 일반적인 위성 기반 인터넷 사용자 IP 중 선택된 IP로 데이터를 유출하도록 Turla가 감염시킨 컴퓨터에 지시를 내린다. 데이터는 기존의 회선을 거쳐 위성 인터넷 제공업체의 텔레포트로 전달된 후 위성에 도달하며 다시 위성에서 선택된 IP 사용자에게 전달된다.
흥미로운 사실은 공격자가 감염된 시스템에서 데이터를 수신하기 위해 도용하는 IP 주소의 합법적 사용자 또한 이러한 데이터 패킷을 받지만 거의 알아차리지 못한다는 점이다. Turla 공격자가 감염된 시스템에 기본적으로 닫혀있는 포트(대부분의 경우)에 데이터를 보내라고 명령하기 때문이다. 합법적 사용자의 PC는 이러한 패킷을 차단하는 반면 포트가 열려 있는 Turla C&C 서버는 유출된 데이터를 받아서 처리한다.
또 다른 흥미로운 점은 Turla 행위자의 전략이 중동이나 아프리카에 위치한 위성 인터넷 연결 공급업체를 사용하는 것으로 가장한다는 점이다. 카스퍼스키랩 전문가들은 Turla 그룹이 콩고, 레바논, 리비아, 니제르, 나이지리아, 소말리아 또는 UAE와 같은 국가에 위치한 공급업체의 IP를 사용한다는 사실을 밝혀냈다.
이러한 국가에서 공격자가 사용하는 위성 빔은 대개 유럽이나 북미 지역에는 전달되지 않으므로 많은 보안 사건 조사 팀이 이러한 공격을 조사하는 데 애로 사항을 겪고 있다.
스테판 타나세 카스퍼스키랩 선임 보안 연구원은 “그간 카스퍼스키랩 조사 팀에서는 공격을 감추는 데 위성 기반 인터넷 연결을 사용하는 악성 코드를 최소 3개 이상 발견했고 이 중에서 Turla 그룹이 개발한 악성 코드가 가장 흥미로우면서도 독특한 것”이라며 “널리 사용되는 기술인 위성 인터넷을 악용하여 철저히 자신들의 정체를 감췄고 공격자는 선택한 위성의 신호 전달 범위 내 어디든 있을 수 있는데 그 범위는 수천 평방 킬로미터에 달해 공격자를 뒤쫓기가 거의 불가능하고 이러한 기법은 점점 더 널리 전파되고 있어 시스템 관리자도 공격에 대비하고 피해를 완화하기 위한 올바른 방어 전략을 세워야 한다”고 말했다.
한편 카스퍼스키랩은 자사 제품의 경우 Turla 보안 위협 행위자가 사용하는 악성 코드를 ▲Backdoor.Win32.Turla. ▲Rootkit.Win32.Turla. ▲HEUR:Trojan.Win32.Epiccosplay.gen
HEUR:Trojan.Win32.Generic 등의 진단명으로 탐지해 차단한다고 설명했다.
