MS, 우크라이나를 타깃으로 한 심각한 사이버 공격 발견
상태바
MS, 우크라이나를 타깃으로 한 심각한 사이버 공격 발견
  • 석주원 기자
  • 승인 2022.01.18 16:30
  • 댓글 0
이 기사를 공유합니다

랜섬웨어로 위장한 와이퍼 악성코드 우크라이나 정부 웹사이트 공격

러시아가 국경 지대에 병력을 배치하며 전쟁 위기가 고조되고 있는 우크라이나에서 정부 기관 및 비영리 단체들을 목표로 한 파괴적인 사이버 공격이 발견됐다.

마이크로소프트(MS)에 따르면, 1월 13일부터 발견된 이번 사이버 공격은 랜섬웨어로 위장돼 있지만 실제로는 목표 대상을 작동 불능으로 만드는 것이 목표인 것으로 추정된다. 일반적인 랜섬웨어 공격에서 발견되는 이른바 ‘몸값’ 회수를 위한 수법이 포함되어 있지 않기 때문이다.

이번 공격은 두 단계에 걸쳐 이루어졌다. 먼저 유포된 악성코드로 마스터 부트 레코드(MBR)를 덮어쓰고, 비트코인으로 1만 달러를 요구하는 가짜 가격표를 표시한다. 이후 Stage2.exe 파일이 실행돼 디스코드 채널을 통해 실제 공격을 위한 악성코드를 다운로드 한다. 다운로드된 악성코드는 수백 개의 확장자를 검색해 OxCC바이트의 고정된 수로 내용을 덮어쓰고, 파일 이름을 무작위의 4바이트 확장자로 바꾼다.

MS는 일반적인 랜섬웨어 공격의 경우 페이로드가 피해자에 따라 맞춤형으로 구성되지만, 이번 공격에서는 다수의 피해자에게서 동일한 랜섬웨어 페이로드가 발견됐다고 설명했다. 또한, 모든 랜섬웨어는 파일 시스템을 암호화하지만, 이번 공격은 MBR을 복구 방법 없이 덮어써 버렸다.

이 외에도 대부분의 랜섬노트에는 피해자가 공격자에게 의사 표현을 할 수 있는 임의의 사용자 ID가 포함되어 있지만 이 공격의 랜섬노트에는 사용자 지정 ID가 포함되어 있지 않았으며, 일반적으로 랜섬노트에 포함되지 않는 암호화폐 지갑 주소가 명시되어 있는 것도 기존 랜섬웨어 공격들과의 차이점이다.

로이터통신은 이번 공격을 UNI1151(Ghostwriter, 고스트라이터)로 불리는 벨라루스와 연계된 APT 그룹의 소행으로 보고 있다. UNI1151은 해킹을 통해 허위 정보를 배포하는 등의 범죄를 저지르며, 주로 독일, 라투아니아, 라트비아, 폴란드, 우크라이나 등을 공격 대상으로 노려왔다.

실제로 이번 공격을 받은 우크라이나 정부의 여러 웹사이트에는 “우크라이나인! 당신들의 모든 개인정보가 공용 네트워크로 전송됐다. 컴퓨터의 모든 데이터는 파괴됐고 복구할 수 없을 것이다. 이것은 당신, 당신의 과거와 미래, 그리고 미래를 위한 것이다. 볼히니아(Volhynia), OUN(우크라이나 민족주의자 조직), UPA(우크라이나 봉기군), 갈리치아(Galicia), 폴란드 그리고 역사적 지역을 위해”라는 문구가 러시아어, 우크라이나어, 폴란드어로 각각 게재됐다.

해킹된 우크라이나 정부 웹사이트에 게재된 메시지
해킹된 우크라이나 정부 웹사이트에 게재된 메시지

세르히 데미듀크(Serhiy Demedyuk) 우크라이나 국가안전보장회의(NSC) 사무차관은 로이터통신을 통해 “우크라이나 정부 웹사이트가 훼손되고 악의적인 메시지가 노출되는 공격을 당했다. 우리는 이 공격에 UNC1151 그룹이 연루되어 있다고 의심하고 있다”고 밝혔다.

한편, MSTIC(Microsoft Threat Intelligence Center)가 ‘DEV-0586’이라는 코드를 부여한 이번 공격은 미국과 러시아의 우크라이나를 둘러싼 협상이 결렬된 직후 시작된 것으로 알려졌으며, 일촉즉발의 우크라이나 사태와 어떤 관계가 있는지에도 관심이 쏠리고 있다.

 

*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.