220420_유명조달기업
미국 연방 기관의 네트워크에 설치된 백도어 발견
상태바
미국 연방 기관의 네트워크에 설치된 백도어 발견
  • 김혜나 기자
  • 승인 2021.12.24 09:54
  • 댓글 0
이 기사를 공유합니다

익명의 공격자가 국제 권리와 관련된 미국 연방 정부 위원회의 네트워크에 백도어 설치

보안업체 Avast(어베스트)의 전문가들이 국제 인권과 관련된 미국 연방 정부 위원회의 네트워크에서 백도어(Backdoor)를 발견했다고 밝혔다. 어베스트 전문가들은 이번에 발견된 백도어를 통해 공격자가 감염된 네트워크를 완벽하게 제어할 수 있다며, 이 공격을 고전적인 APT(Advanced Persistent Threat) 방식의 작업이라고 설명했다.

어베스트는 정부 네트워크를 뚫기 위한 다단계 공격에서 백도어가 초기 벡터로 사용됐을 가능성이 높다며, 아직 피해를 당했다는 증거가 발견되지는 않았지만 문제가 된 파일을 분석한 결과 공격자가 이 조직의 모든 로컬 네트워크 트래픽을 가로채고 유출할 수 있다는 결론을 내렸다. 여기에는 다른 미국 정부 기관, 국제 권리에 초점을 맞춘 국제 정부, 비정부기구(NGO)와 교환되는 정보가 포함될 수 있다.

또한 공격자가 감염된 시스템 운영 체제의 컨텍스트에서 선택한 코드를 실행하여 완전히 제어할 수 있다는 징후가 포착된 것으로 알려졌다. 어베스트는 해당 사실을 기관에 보고하지 않고 직접 공개를 결정했다.

어베스트는 공격받은 기관의 네트워크에서 공격자가 내부 시스템을 완전히 제어할 수 있도록 하는 두 개의 악성 파일을 발견했다. 전문가들이 분석한 두 샘플 모두 oci.dll이라는 오라클 라이브러리로 가장하고 있으며, 두 번째 파일은 공격의 두 번째 단계에서 첫 번째 파일을 대체하는 데 사용되었다.

이는 한국 기업의 정보 탈취를 목표로 시도됐던 ‘Operation Red Signature(오퍼레이션 레드 시그니처)’ 공격 방식과 유사하다. 특히 두 번째 버전의 oci.dll은 레드 시그니처 공격에서 사용된 rcview40u.dll과 여러 공통점을 보이므로 공격자가 공격에 사용된 멀웨어의 소스코드에 액세스할 수 있었던 것으로 추측하고 있다.

이번 백도어 발견과 관련해 피해를 입은 기관이 직접 피해 사실을 밝히지 않는 이상 더 이상의 추가 정보는 없을 것으로 보인다. 다만, 어떤 형태든 데이터 수집과 네트워크 트래픽 유출이 일어났으며, 네트워크의 완전한 가시성과 감염된 시스템의 제어가 가능했던 것으로 보인다. 이는 다단계 공격의 첫 단계 혹은 고전적인 APT 유형 공격에서 다른 네트워크에 더 깊이 침투하기 위한 과정으로 예상되지만, 이것은 어디까지나 공개된 정보에 근거한 추측일 뿐이다.

어베스트는 보고서에서 이 기관의 이름을 밝히지 않았지만, 워털루 지역 매체 더레코드(TheRecord)는 백도어가 발견된 기관을 미국 국제종교자유위원회(USCIF)로 추측하고 있다. USCIF는 해외에서의 종교와 신앙의 자유에 대한 권리를 감시하고 대통령과 국무장관, 미 의회에 정책을 권고하는 기관이다.

한편, 더레코드는 "어베스트는 위협 행위자가 접근 권한을 얻어 미국 연방정부 기관의 내부 네트워크를 백도어로 살펴봤다는 사실을 보고했다"는 기사를 보도했다.

 

*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.