>
연구(Insikt)

브라질의 해적들: 러시아와 중국 해킹 커뮤니티의 강점 통합 [보고서]

게시일: 2019년 4월 16일
작성자: Insikt Group

insikt-group-logo-updated.png 전체 분석 내용을 PDF로 다운로드하려면 여기를 클릭하세요. 레코디드 퓨처의 인식트 그룹은 브라질 해킹 커뮤니티의 역량, 문화, 조직을 조사하기 위해 해킹 및 범죄 포럼 내의 광고, 게시물, 상호작용을 분석했습니다.레코디드 퓨처Ⓡ 플랫폼과 오픈 웹, 다크 웹, 언더그라운드 포럼 리서치 등을 통해 자료를 수집했습니다.

_러시아, 중국, 일본, 이란에서 시작된 시리즈의 일부인이보고서는 금융 업종 및 기업별 위협을 더 잘 모니터링하기 위해 지하 범죄를 이해하고자 하는 조직과 브라질 지하 범죄를 조사하는 조직에 가장 큰 관심을 끌 것입니다.

Executive Summary

각 국가의 해커는 고유한 행동 강령, 포럼, 동기 및 지불 방법을 가지고 있습니다. 브라질 언더그라운드에서 오랜 경력을 쌓은 레코디드 퓨처의 포르투갈어 사용 분석가들은 지난 10년 동안 브라질 포르투갈어 사용자에 맞춘 언더그라운드 시장과 포럼을 분석하여 포럼에서 호스팅되는 콘텐츠의 여러 가지 특이점과 포럼 조직 및 진행 방식의 차이점을 발견했습니다.

브라질 해커의 주요 표적은 브라질인입니다. 브라질의 해커는 비공개 컨퍼런스에서 취약점을 공개하는 초급 해커와 보안 연구원부터 불법 제품과 서비스를 판매하는 블랙 햇 해커에 이르기까지 다양합니다. 브라질 해커들은 항상 쉽게 돈을 벌 수 있는 다음 기회를 찾고 있습니다. 기업이 보안 통제를 강화하여 이러한 활동에 대응하면 다른 비즈니스로 이동합니다. 고급 해커의 능력은 브라질 사법 당국의 작전 오스텐테이션과 프리렉스 갱의 ATM 멀웨어를 통해 잘 드러납니다.

브라질 포럼이 반드시 웹 포럼을 기반으로 하는 것은 아닙니다. 중국 지하 조직은 러시아보다 브라질과 더 비슷하지만, 중국 사이버 범죄자들은 QQ나 위챗과 같은 현지 앱을 사용합니다. 브라질의 포럼 플랫폼은 광범위한 사회적 트렌드와 법 집행 노력에 따라 변화하는 역동적인 플랫폼이었으며, 지금도 마찬가지입니다. 현재 선택 가능한 포럼은 WhatsApp과 텔레그램입니다. 브라질 포럼에 대한 액세스는 러시아어를 사용하는 지하에서만큼 엄격하지 않습니다. 하지만 브라질의 언더그라운드는 텔레그램과 왓츠앱 그룹에 흩어져 있기 때문에 수집 출처가 다양합니다. 브라질 포럼의 정보는 제품이나 서비스에 대한 스레드가 고정되어 있고 기능 및 가격이 잘 정리된 게시물이 있는 러시아어권 포럼에 비해 잘 정리되어 있지 않습니다.

### 주요 판단
  • 이 나라에서는 카딩이 강세입니다. 현지 속어로 '게라다'라고 불리는 알고리즘에 의해 생성된 신용 카드의 활동이 활발합니다. 이 시리즈에서 다루는 다른 지역에서는 인식트 그룹이 적어도 명시적으로 관찰하지 않습니다.
  • 이메일, SMS, 소셜 미디어, 메신저를 통한 스팸은 여전히 멀웨어와 피싱을 배포하는 주요 방법 중 하나입니다. 로컬 공격자들은 SMS의 덜 엄격한 보안 메커니즘을 악용하여 URL이나 멀웨어 샘플을 배포하고 있습니다.
  • 2014년에 처음으로 관찰된 취약한 고객사 장비(CPE)를 이용한 대량 파밍 공격은 여전히 중요한 자격증명 수집 방법입니다. 일반적인 표적은 금융 기관, 스트리밍 서비스, 웹 호스팅 회사입니다.
  • 브라질의 사이버 범죄자들은 2단계 인증(2FA)에 겁을 먹지 않습니다. 대부분의 초급 해커는 다른 활동으로 이동하지만, 고급 해커는 이러한 보안 제어를 우회하는 데 집착하고 성공합니다. 인식트 그룹이 관찰한 기술에는 SIM 스왑 공격, 인터넷 뱅킹에 사용되는 데스크톱의 전체 손상, 해커가 뱅킹 세션에 직접 개입하여 방해하는 행위 등이 있습니다.

브라질 해킹 커뮤니티 5-2.png

브라질 커뮤니티: 해적 정신

러시아어를 사용하는 사이버 범죄자들과 마찬가지로 브라질 사이버 범죄자들은 무엇보다도 돈이라는 한 가지를 가장 중요하게 생각합니다. 브라질의 해커 커뮤니티는 지역, 동기, 목표, 선호하는 커뮤니케이션 플랫폼이 모두 다릅니다.

브라질 해킹 커뮤니티 -1-1.png

최근 레코디드 퓨처에 추가된 브라질과 매우 관련성이 높은 소스인 텔레그램을 소개합니다.

러시아와 중국의 지하 조직을 각각 '도둑'과 '괴짜'로 정의한 반면, 브라질 해커를 '해적'이라고 표현한 이유는 이들이 러시아와 같은 전문 도둑이 아니라 쉬운 돈이 어디에 있는지, 법 집행 기관과 보안 연구자들이 이들에 대한 정보를 수집하기 위해 무엇을 하고 있는지에 따라 언제든지 TTP와 포럼 플랫폼을 변경할 준비가 되어 있기 때문입니다. 동시에 브라질의 일부 사이버 범죄자들은 엄격한 인터넷 뱅킹 보안 통제와 ATM 보안을 인상적인 방식으로 우회할 수 있다는 점에서 중국 사이버 범죄자 그룹과 유사합니다.

브라질 지하철의 역사

브라질에는 1995년과 1996년 사이에 상업용 인터넷이 도입되었습니다. 90년대 후반에는 인터넷 릴레이 채팅(IRC) 네트워크와 ICQ 메신저, 그리고 게시판 시스템(BBS), 웹 기반 포럼, 채팅이 브라질의 주요 채팅 플랫폼으로 자리 잡았습니다.

IRC 채널은 2000년대와 2010년대 초반에 전문 해커들이 선택한 포럼이었습니다. 활동에는 제품 및 서비스 광고, 대량의 신용카드 정보, 토론 등이 포함되며, 주제별로 정리된 것은 없습니다. 예를 들어, 실버 로드와 풀네트워크(그룹이라기보다는 IRC 네트워크라는 표현이 더 잘 어울립니다)라는 그룹이 운영하는 IRC 서버는 수년 동안 지하 세계를 지배했습니다.

브라질에서 IRC 클라이언트의 대명사가 된 매우 인기 있는 IRC 클라이언트의 이름인 "mIRC"는 모든 유형의 사용자들 사이에서 큰 인기를 얻었습니다. 브라질에서 가장 인기 있는 IRC 네트워크인 Brasirc와 Brasnet은 브라질에서 최초로 알려진 위협 활동인 IRC 서버 호스트에 대한 의도적인 IRC 플러딩 공격(일종의 서비스 거부 공격), 사용자 이름 탈취, 조직적인 공격 등이 이 채널에서 발생했습니다.

IRC 프로토콜은 채널 및 서버에 대한 액세스 제어, 각 사용자에게 특정 권한을 부여하는 기능, 봇 등의 기능을 통해 해킹 토론에 유리한 환경이었습니다. 처음에는 해커들이 Brasirc 및 Brasnet과 같은 공용 IRC 네트워크에서 만났지만 시간이 지나면서 자체 IRC 서버를 호스팅하기 시작했습니다. 이러한 서버를 찾기가 더 어려웠기 때문에 사용자와 관리자는 어느 정도 프라이버시를 보호할 수 있었습니다. 러시아어권 국가에서 볼 수 있는 특별 액세스 웹 포럼과 마찬가지로 액세스 제어가 있었습니다. 특정 서버에서 채널에 참여하려면 등록된 '닉'(별명)이 필요했고, 닉을 관리하는 봇(서비스)인 NickServ를 항상 사용할 수 없었습니다.

다양한 그룹, 기술 수준, 동기를 가진 브라질 해커들의 공통 관심 분야는 모의 침투 테스트입니다. 이는 대부분의 지역 해커 컨퍼런스 및 초급 웹 포럼에서 도구와 튜토리얼이 공유되는 주요 주제 중 하나입니다.

브라질에서는 웹사이트 훼손이 항상 해킹 활동의 주요 유형 중 하나였습니다. 브라질 사람들은 항상 인기 있는 웹사이트 훼손 아카이브인 zone-h[.]org에 웹사이트 훼손을 가장 많이 신고해왔고, 지금도 신고자 중 한 명입니다.

브라질-해킹-커뮤니티-2-1.png

악명 높은 웹 손상 아카이브인 Zone-H에 제출된 ProtoWave Reloaded 그룹의 검증된 제출물입니다. 현재까지 이 브라질 그룹은 1,250개 이상의 웹페이지를 훼손했습니다.

역사적으로 웹사이트 훼손에 연루된 대부분의 브라질인들은 소프트웨어 취약점과 잘못 구성된 인터넷 시스템을 악용하는 방법을 배우는 청소년들이었습니다. 정찰부터 침투 테스트, 취약점 익스플로잇까지 보안 프레임워크가 없는 상황에서 훼손은 학습 경험으로 간주되었습니다.

2005년부터 현재까지 브라질 언더그라운드에는 여전히 상당한 규모의 웹사이트 훼손 커뮤니티가 존재하며, 그 동기는 관리자에 대한 경고에서 핵티비즘으로 진화했습니다. 브라질에서는 자연재해, 정치 스캔들 등 현재 신문의 헤드라인을 장식하는 주제와도 일치하는 명예훼손을 주제로 삼고 있습니다.

2000년대 초반 가장 악명 높은 해커 그룹 중 일부는 IRC 시대에 등장했습니다:

  • 웹사이트 훼손: 프라임서스펙트즈1, 실버 로드, 인세니티 진, HFury, 데이터차0스, 크라임 보이즈
  • 해킹: 언시큐리티 씬, 또는 '언섹', 그리고 그 '스핀오프' 그룹인 클럽 도스 메르세나리오스(CDM), 프론트 더 씬(FTS)

해킹과 관련해서는 주로 정찰, 모의 침투 테스트, 알려진 취약점 악용에 대한 보안 연구를 수행했습니다. 당시에는 방대한 모의 침투 테스트 문헌이나 Metasploit과 같은 프레임워크, Kali Linux와 같은 도구가 없었던 한계를 고려할 때, 이러한 연구자들 중 일부는 웹 변조 행위자로 시작했을 가능성이 있습니다.

2001년 탐사 저널리스트 지오다니 로드리게스는 당시의 주요 웹 훼손 그룹을 인터뷰한 기사를 연재했습니다. 대부분 배우들의 나이는 15세에서 22세 사이였습니다. 아마도 그 연령대는 크게 변하지 않았을 것입니다. 해당 연령대의 공격자들은 무책임하게 행동하는 경향이 있습니다. 성숙도와 윤리의식은 보안 전문가가 된 웹 디페이스 공격자와 데이터 유출이나 측면 이동과 같은 침입의 다른 결과로 이동하는 공격자를 구분하는 기준이 됩니다.

전 세계적으로 익명 활동이 시작된 2010년에 브라질에서도 동일한 활동이 관찰되었습니다. 2010년 하반기에 위키리크스에 대한 지원으로 시작되어 현재까지 다양한 형태로 이어지고 있습니다. 익명 활동이 가장 활발했던 시기는 2011년부터 2015년 사이로, 대부분의 글로벌 운영팀이 현지 단체의 지원을 받았던 시기입니다. 공격 대상은 대부분 정치적이었으며, 분산 서비스 거부(DDoS)가 주요 공격 유형이었습니다. 2011년 브라질 연방 경찰은 여러 정부 웹사이트가 표적이 되어 브라질에서 익명의 활동을 조사했습니다.

2016년부터 어나니머스의 대의를 지지한다고 주장하는 단체들은 지역 뉴스와 여론의 헤드라인에 따라 표적이 달라집니다. 부패한 정치인, 부패 스캔들에 연루된 기업, 선거 후보자, 2016 리우데자네이루 하계 올림픽, 2014 브라질 FIFA 월드컵 등 어떤 대상이나 주제든 지역 익명 캠페인의 대상이 될 수 있습니다. DDoS 공격이 효과가 없어진 후 가장 일반적인 공격은 침해 데이터 유출이 되었으며, 지금도 마찬가지입니다. 지난 한 해 동안 익명의 활동은 주로 정치적 표적에 집중되었습니다. 최근 반복적으로 활동하는 유일한 그룹 중 하나인 AnonOpsBR은 브라질 국방부와 자이르 보우소나루 대통령 당선자, 그리고 부통령을 공격한 바 있습니다.

브라질 지하철 조직

브라질에서는 상호작용에 사용되는 모든 플랫폼이 해커 포럼으로 간주될 수 있습니다. 앞서 언급했듯이 러시아어를 사용하는 범죄 지하 커뮤니티의 일반적인 조직은 각 포럼이 단일 목적을 가지고 있지 않고 제품이나 서비스에 대한 고정 스레드가 없거나 기능 및 가격이 잘 정리된 게시물이 없기 때문에 브라질에서 관찰되는 것과는 다릅니다. 이는 현지 언더그라운드에 대한 이해 측면에서 큰 차이를 만들어냅니다.

러시아어권 국가와 달리 브라질 해커 포럼에서는 Jabber/XMPP가 인기 있는 채팅 플랫폼이 아니었습니다. 2015년부터 관심 커뮤니티가 IRC에서 Telegram, WhatsApp, TeamSpeak(게임), Discord(게임)와 같은 최신 모바일 채팅 플랫폼으로 옮겨갔다고 자신 있게 말할 수 있습니다. 토르 다크웹 포럼과 마켓에서는 Wickr, Signal과 같은 프라이버시 지향 메신저를 더 자주 볼 수 있습니다.

Google의 Orkut은 브라질 최초의 인기 소셜 네트워크였습니다. 2004년부터 2010년까지 브라질은 해킹과 함께 인터넷의 중심지였습니다. 해킹 제품 및 서비스를 판매하기 위해 비공개 Orkut 그룹이 만들어졌습니다. 광고 구성은 러시아어를 사용하는 웹 포럼에서 볼 수 있는 것과 매우 유사했습니다. 2010년을 전후로 해커를 포함한 사용자들이 Facebook으로 이동하기 시작했습니다. 2014년에 Orkut은 Google에서 서비스를 중단했습니다.

사이버 범죄에 소셜 네트워크를 사용하는 것은 브라질의 특정 해커 그룹이 얼마나 비전문적인지 보여줍니다. 러시아어 또는 중국어 포럼의 활동가라면 누구나 소셜 네트워크가 불법 비즈니스를 수행하기에 위험한 장소라는 것을 알고 있을 것입니다. 이러한 네트워크를 소유한 회사는 일반적으로 지역 당국과 협력할 의무가 있으므로 법 집행 기관이 해커를 쉽게 조사하고 구금할 수 있습니다.

브라질에서는 2011년 브라질에서 소셜 네트워크가 인기를 끌자마자 사이버 범죄자들이 페이스북을 광고에 활용하기 시작했습니다. 그룹은 폐쇄되었지만 엄격한 검토나 심사 절차는 없었으며, 액세스 권한을 요청하고 승인받기만 하면 되었습니다.

2011년, 카스퍼스키랩은 해커들이 거래하는 다른 해커가 신뢰할 수 있는지 또는 '리퍼'(사기꾼)인지 확인할 수 있도록 만들어진 웹사이트를 발견했습니다. 이 서비스는 '해커의 신용 보고서'라는 뜻의 'SPC dos 해커'라는 이름으로 사용자 이름, 각 사용자 이름과 관련된 연락처 정보, 해당 사용자에 대한 평가(긍정적이든 부정적이든)를 데이터베이스화한 것이었습니다.

평균적으로 브라질의 사이버 범죄자들은 초급부터 중급까지 운영 보안(OPSEC) 및 법 집행에 대한 우려를 나타내지 않습니다. 사이버 범죄로 구금된 범죄자들이 며칠 또는 몇 주 후에 석방되는 경우가 흔합니다.

현재 랜드스케이프

브라질 웹 포럼은 브라질 언더그라운드에서 큰 역할을 하지 않습니다. 그들은 그런 적이 없었고 앞으로도 그럴 가능성이 높습니다. 2010년에 가장 유명했던 해커 웹 포럼은 2019년 가장 활발했던 포럼인 Fórum Hacker와 Guia do Hacker와 본질적으로 동일했습니다. 2018년에 삭제된 Perfect Hackers와 같은 일부 포럼은 그 사이에 등장했다가 자발적으로 삭제되었습니다. 그러나 이러한 저명한 포럼은 여전히 대중에게 공개되는 주요 해커 커뮤니티로 남아 있습니다. 등록 또는 유료 등록을 위한 심사 절차는 없습니다. 누구나 이러한 포럼에 참여할 수 있습니다.

브라질 웹 포럼은 해커가 되는 방법을 배우고 정보와 도구를 공유할 수 있는 환경입니다. 브라질에서는 적어도 2010년부터 포럼을 통해 초급 해커(스크립트 키드)가 활동해 왔습니다. 이들은 포럼에 머무르며 해킹 방법론을 배우는 데 유용합니다. 동료애는 칭찬과 격려를 받습니다. 판매할 제품 및 서비스가 있습니다. 모바일 포럼, 특히 텔레그램 채널은 제품 및 서비스 광고에 선호되는 환경이 되었습니다.

최근에는 그룹들이 텔레그램으로 이전하면서, 대부분의 채널에 최소한의 접근 제어가 이루어지고 있으며, 정의된 사용자 아이디는 일부 채널에 접근하기 위한 필요조건이자 충분조건이 되었습니다. 브라질 공개 텔레그램 채널은 플랫폼에서 이용 가능합니다.

브라질 해킹 커뮤니티 3-1.png

피싱 키트 광고가 포함된 텔레그램 채널.

위 스크린샷에서, 텔레그램 그룹 관리자는 피싱 키트의 현지 속어인 "텔라스 페이크"를 광고하고 있습니다. 250 BRL(66달러)의 은행 계좌 인증 정보 캡처, 200 BRL(53달러)의 기본 신용카드 정보 캡처, 150 BRL(40달러)의 전체 신용카드 정보(이름 및 주소 포함) 캡처 등 세 가지 유형의 상품이 있습니다. 휴대폰 아이콘은 이 키트가 휴대폰과 호환된다는 것을 나타냅니다.

포럼 해커나 가이아 두 해커와 같은 웹 포럼은 많은 브라질 사람들이 네트워크 및 정보 보안에 몰입할 수 있는 좋은 방법으로 여깁니다. 대부분의 초보 해커는 브라질의 화이트햇 및 블랙햇 커뮤니티에 진입할 수 없습니다. 이는 브라질 해커 컨퍼런스의 고립적이고 초대받은 사람만 참석할 수 있는 특성에서 가장 잘 드러납니다.

Sacicon is another one-day, invite-only conference that has taken place in Sao Paulo since 2012. This conference is similar to YSTS, with a focus on highly technical talks and partying. This conference is promoted by the same organizers of the Hackers to Hackers Conference, the first (starting in 2004) and most notorious hacker conference in Brazil. The organizers of Roadsec, a conference targeted at the entry-level security professional or student more than any other audience, also support Sacicon.

2007년부터 상파울루에서 매년 하루 동안 열리는 초청자 전용 해커 컨퍼런스인 유 샷 더 보안관(YSTS)은 내용이나 자물쇠 따기, 하드웨어 해킹과 같은 병행 활동 면에서 데프콘과 유사합니다. 회의 장소는 항상 술집입니다. 이 컨퍼런스의 티켓은 거의 판매되지 않지만, 판매되더라도 대부분의 현지 초급 전문가나 학생들에게는 가격이 부담스럽지 않습니다. 이 컨퍼런스는 보안 연구 관점에서 브라질 최고의 해커 컨퍼런스 중 하나로 꼽힙니다.

브라질 헤시피주에서 열리는 AlligatorCon은 초청자만 참석할 수 있는 블랙햇 컨퍼런스입니다. 이 컨퍼런스는 높은 기술 수준의 콘텐츠를 제공한다는 점에서 새콘과 비슷하지만, 취약점 악용, 새로운 해킹 도구, 제로데이 취약점 공개 등 그 이상의 주제를 다루고 있습니다. 사콘과 달리 이 컨퍼런스는 브라질 포르투갈어로 발표되는 현지 연구에만 초점을 맞춥니다.

브라질 해커가 없는 곳은 웹 포럼에서 여러 번 언급했습니다. 하지만 그들은 어디에 있을까요? 다른 브라질 사람들과 같은 장소입니다. 선택한 커뮤니케이션 플랫폼은 일반적으로 현지인들이 일반적으로 사용하는 것과 동일한 플랫폼입니다. 현재 상황에서는 WhatsApp, 텔레그램, 디스코드를 의미합니다. 브라질 해킹 커뮤니티에서 10대가 주를 이루는 인구 통계의 결과인 마지막 방법도 게이머들이 주로 사용합니다.

브라질 언더그라운드 포럼의 콘텐츠

멀웨어

브라질 웹 포럼에서 가장 흔하게 발견되는 소프트웨어 제품 유형은 백신 엔진에 탐지되지 않도록 악성 소프트웨어를 포장하는 데 사용되는 난독화 도구인 '크립터'입니다. 멀웨어가 "FUD", 즉 "완전히 탐지되지 않는" 멀웨어일수록 멀웨어가 탐지되지 않고 사용자의 이메일 받은 편지함에 도달할 가능성이 높습니다.

멀웨어 패커에 대한 이러한 높은 관심은 브라질 사이버 범죄자들의 주요 공격 벡터 중 하나인 이메일에 대한 높은 관심을 나타냅니다. 이메일 스팸은 항상 브라질에서 피싱 및 멀웨어 배포의 주요 방법 중 하나였습니다. 그러나 지난 몇 년 동안 여러 보안 제어 장치로 인해 캠페인이 피해자의 받은 편지함에 도달하지 못하는 경우가 점점 더 많아지고 있습니다. 동시에 새로운 세대는 이메일 메시징과의 관계를 바꾸었고, 여러 다른 소셜 미디어 사이트와 메신저 앱이 등장하여 주요 커뮤니케이션 플랫폼으로 자리 잡았습니다. 사이버 범죄자들이 성공하기 위해서는 이러한 행동 변화에 적응해야 했습니다.

피싱 방지 워킹 그룹(APWG)의 최신 분기별 보고서에 따르면 피싱 캠페인은 이제 구글, 빙과 같은 검색 엔진의 유료 광고, 소셜 미디어, 공식 스토어의 악성 모바일 앱, 스미싱(SMS 피싱)을 이용해 피해자를 표적으로 삼고 있는 것으로 나타났습니다. 이러한 공격 벡터 중 상당수는 스팸, 특히 SMS를 처리하는 데 비효율적인 방법을 사용하여 사이버 범죄자가 더 많은 피해자에게 도달할 수 있도록 합니다. 악성 링크가 피해자의 받은 편지함에 도달한 후에도 피싱 캠페인이 성공하려면 피해자가 미끼를 받고 링크를 클릭해야 하는 마지막 단계가 남아 있습니다. 사용자가 피싱 링크를 클릭하도록 유도할 뿐만 아니라 기술적으로도 클릭하도록 강제할 수 있는 방법이 있습니다. 이러한 방법을 "파밍"이라고 합니다.

파밍은 멀웨어 또는 기술적 전략을 사용하여 DNS 이름 확인을 무력화하고 호스트 또는 네트워크의 모든 사용자가 공격자의 통제 하에 잘못된 호스트(IP 주소)의 알려진 웹사이트 주소를 방문하도록 하는 것입니다. 파밍은 브라질 해커들의 매우 일반적인 활동입니다. 보안 회사와 인터넷 서비스 제공업체의 노력에도 불구하고 간혹 공격이 탐지되지 않는 경우가 있습니다.

파밍의 첫 번째 형태 중 하나는 로컬 파밍으로, 공격자는 멀웨어를 활용하여 로컬 호스트 주소 확인 파일(Windows의 경우 "LMHOSTS", Linux의 경우 "호스트")을 수정합니다. 운영 체제는 먼저 해당 파일에서 호스트 이름과 IP 주소 쌍을 확인합니다. 해당 파일에 은행의 호스트 이름이 나열되어 있으면 해당 해결 방법이 가장 높은 우선순위를 갖습니다. 사용자가 잘못된 서버에서 올바른 URL로 웹사이트를 방문합니다. 로컬 파밍에는 한 가지 약점이 있는데 바로 안티바이러스입니다. 멀웨어는 서명 또는 휴리스틱으로 탐지할 수 있으며, 로컬 이름 확인 파일을 수정하려는 모든 애플리케이션은 의심스러운 것으로 간주됩니다. 로컬 파밍은 URL이 피해자에게 합법적으로 보이기 때문에 설득력이 있지만, 오늘날의 멀웨어 방지 제어 기능을 사용하면 공격자가 멀웨어로 파일을 변경하는 데 성공할 가능성은 거의 없습니다. 반면 DNS 또는 네트워크 파밍은 복잡한 멀웨어가 필요하지 않습니다.

네트워크 파밍은 브라질 사이버 범죄자들이 2014년부터 사용해 온 공격 기법입니다. 처음에는 ISP가 제공하는 네트워크 라우터인 고객사 장비(CPE)를 악용하는 전략이었습니다. 대부분의 사용자는 ISP로부터 동일한 모델 또는 라우터를 제공받기 때문에 네트워크 환경을 매우 예측할 수 있습니다. 이 공격에는 로컬 라우터의 DNS 설정을 변경하는 로컬 네트워크 URL이 포함된 스팸을 전송하는 것이 포함되었습니다. 이 공격 방법이 성공하려면 기본 관리자 사용자 아이디와 비밀번호라는 한 가지 유리한 조건이 필요했습니다.

시간이 지남에 따라 원격 소프트웨어 취약점을 악용하는 등 다른 전략이 CPE를 익스플로잇하는 데 사용되었습니다. 2018년 3월에 Radware가 설명한 캠페인 중 하나는 MicroTik 라우터의 취약점을 악용하는 것이었습니다. 2018년 9월, 360 Netlab은 브라질에서 85,000대 이상의 라우터와 관련된 두 건의 사건(9월 4일과 9월 29일)을 보고했습니다. 영향을 받은 회사들은 현지 주요 은행, 웹 호스팅 회사, 그리고 텔레그램 채널에서 공통적으로 판매되는 자격증명인 넷플릭스와 관련이 있습니다. Spotify는 이러한 공격의 표적이 된 도메인 이름에 포함되지는 않았지만 전형적인 공격 대상이기도 합니다. 두 서비스 모두 2단계 인증을 제공하지 않기 때문에 이러한 맥락에서 자격증명 수집 및 재사용이 쉽지 않습니다.

금융 서비스 타깃팅으로 높은 보안 기준 달성

브라질의 금융 시스템은 보안 통제 측면에서 매우 선진적입니다. 이는 수십 년에 걸친 사이버 범죄와 실제 범죄, 그리고 그 못지않게 중요한 것은 브라질 사람들의 지속적인 악의적 활동에 대한 대응의 결과입니다. 브라질은 모든 면에서 금융 업계에 적대적인 환경이며, 그 결과 보안 기준이 높습니다. 해커의 활동과 금융 시스템 보안의 발전은 밀접한 관련이 있어 금융 기관은 지속적으로 보안을 강화해야 합니다.

로그인 시 2FA, QR 코드를 통한 거래 시 2FA, 물리적 토큰, '루트킷'과 유사한 브라우저 플러그인, 기기 사전 등록, 기기 지문 인식, 엄격한 송금 한도, 송금 대상 계좌 사전 등록, 인터넷 뱅킹 전용 데스크톱 브라우저, ATM의 생체인식 등 방대하고 계속 증가하는 보안 제어 목록에 속합니다.

브라질 은행 계좌와 외국 은행 간 송금은 라틴 아메리카 또는 메르코수르 무역 블록 내에서도 간단하지 않습니다. 국제 결제 주문 처리는 환전 거래로 취급됩니다. 따라서 자금 세탁 및 탈세에 대한 추가적인 통제가 적용되어 국경을 넘는 자금 이동이 더욱 어려워집니다.

또 다른 중요한 보안 제어는 신용 카드와 관련이 있습니다. 대부분의 국가에서는 카드 미소지(CNP) 거래 시 성명, 전체 주소 등 기본 개인 정보를 제공해야 합니다. 브라질에서는 모든 거래에서 모든 브라질 시민에게 고유한 세금 ID인 CPF(Cadastro de Pessoas Físicas)를 제공해야 하며, 이 ID는 신용 카드와 연결된 ID와 일치해야 합니다. 이 ID는 미국의 사회보장번호(SSN)와 매우 유사합니다. 해당 정보가 공개되면 중요한 정보로 간주됩니다.

위에서 설명한 것처럼 국가 간 자금 이동이 어렵고 보안 통제가 엄격합니다. 그렇다면 사이버 범죄자가 이러한 환경에서 어떻게 성공할 수 있을까요? 칩 앤 핀 기술은 2000년대 초 브라질에 도입되었습니다. 다른 신기술과 마찬가지로 브라질에서도 칩 앤 핀이 악용되었고, 결국 사이버 범죄자들은 EMV 시스템 자체가 아니라 제대로 구현되지 않은 배포를 공격하는 데 성공했습니다.

2018년 3월, 카스퍼스키랩 브라질은 칩 앤 핀(EMV)이 있는 POS 시스템을 표적으로 삼는 멀웨어에 대한 연구를 발표했습니다: Prilex. EMV의 악용은 새로운 것이 아니었습니다. 지난 몇 년 동안 칩 및 PIN 인증의 취약한 배포에 대한 다른 공격이 야생에서 발견되었습니다. 최소 2015년부터 활동해온 프리렉스 배후 그룹은 데이터를 유출할 수 있는 4G 데이터 네트워크 액세스 권한을 가진 라즈베리 파이를 포함한 다양한 블랙박스 공격 방식을 사용했습니다. 또한 기계 인프라를 제어하는 데 집중했습니다. 마지막으로, 공격 대상에 POS(Point-of-Sale) 시스템을 추가하고 칩 및 PIN 카드를 표적으로 삼기 시작했습니다.

Prilex는 웹 기반 포럼과 소셜 미디어의 한계를 벗어나 운영되는 것으로 알려져 있습니다. 카스퍼스키 연구원에 따르면, 이들은 엄격하게 통제되는 비공개 WhatsApp 그룹을 운영한다고 합니다. 이러한 이유로 플랫폼에서 프리플렉스 활동가의 포럼 활동은 없습니다.

언어 및 사기 드라이브 타겟

브라질 해커의 주요 표적은 브라질인입니다. 포르투갈어는 이러한 관찰을 설명하는 데 핵심적인 요소이지만, 이 지리적 고립을 설명하는 다른 요소도 있습니다.

앙골라, 카보베르데, 기니비사우, 모잠비크, 포르투갈, 상투메프린시페 등 포르투갈어를 사용하는 다른 국가들이 있지만 이들 국가와 브라질 간에는 교류가 거의 없습니다. 브라질에는 다른 나라에서 사용하는 포르투갈어와는 다른 발음과 어휘를 사용하는 브라질 포르투갈어라는 고유한 포르투갈어가 있습니다. 이러한 독특한 포르투갈어 변형과 문화적, 경제적 차이로 인해 브라질은 스페인어권 국가에 둘러싸여 있어 남미의 다른 국가들과도 고립되어 있습니다.

브라질 지하경제의 대부분의 상품과 서비스는 개인 정보와 관련이 있습니다: 신용 기록 데이터베이스에 대한 액세스, CPF(세금 ID) 및 자격 증명으로 제공된 특정 개인에 대한 전체 정보. 이러한 인증정보는 멀웨어, 금융 인증정보 피싱, 신용 조회 피싱, Serasa Experian 인증정보, 관심 있는 회사의 내부 직원 등 다양한 방법으로 획득합니다.

자격 증명 판매와 같은 카드와 이를 둘러싼 제품 및 서비스는 폐쇄형 해커 그룹의 주요 활동 중 하나입니다. 과거에는 IRC 채널에서 정보가 공유되었지만, 이제는 텔레그램과 다른 최신 플랫폼에서도 정보를 공유할 수 있습니다. 카딩 활동은 일반적으로 주요 해커 웹 포럼에는 존재하지 않습니다.

이 나라의 지하에서는 카딩이 강합니다. 브라질 지하철에서 발견된 모든 신용카드가 반드시 수거되는 것은 아닙니다. "게라다"라고 하는 알고리즘에 의해 생성된 신용 카드의 활동이 활발합니다. 이들은 카드를 적절하게 검증하지 않는 회사를 '카데아베이' 또는 '카딩에 취약한 회사'라고 부르며 이를 악용합니다.

2016년 11월, 테스코 은행은 2만 개의 계정과 226만 파운드(미화 295만 달러)의 손실이 발생한 보안 사고를 발표했습니다. 며칠 후 회사는 정상적인 서비스가 재개되었다는 새로운 성명을 발표했습니다. 새로운 성명서에는 추가 정보가 공개되지 않았습니다. 2018년 10월, 영국 금융감독청(FCA)은 2016년에 발생한 사건에 대한 '최종 통지'를 발표했습니다. 27페이지 분량의 문서에 따르면 공격자들은 테스코 은행의 직불 카드 번호를 생성하는 알고리즘을 사용했을 가능성이 높습니다. 대부분의 사기 거래가 브라질에서 발생한 것으로 확인되었는데, 이는 공격자가 비접촉식 MSD 거래를 하고 있음을 나타내는 업계 코드인 'PoS 91'이라는 결제 방법을 사용한다는 것을 의미합니다. 이는 생성된 카드 번호와 관련된 브라질 해커 활동의 영향력을 보여주는 가장 악명 높은 사례입니다.

현재 브라질에는 개인 데이터 보호 규정이 마련되어 있지 않습니다. 유럽연합의 일반 개인정보 보호 규정(GDPR)과 유사한 규정을 시행할 계획이 있지만 2020년 12월에야 시행될 예정입니다. 이는 법안 번호 13.709로, '데이터 보호법(Lei Geral de Proteção de Dados)' 또는 LGPD로도 알려져 있습니다.

현재로서는 위반이 발생한 회사는 이를 대중이나 브라질 정부에 공개할 의무가 없습니다. 그 결과 기업들은 어떤 대가를 치르더라도 위반 사실을 부인합니다. 2018년 10월, 브라질의 결제 처리 회사인 Stone은 기업공개 직전에 데이터 유출 사고가 발생했다고 발표했습니다. 회사 측에서 자세한 내용을 확인하지는 않았지만 갈취 시도가 있었다는 보도가 있었습니다. 사이버 범죄자나 회사의 기업 공개를 방해하려는 경쟁 업체일 수도 있습니다. 2018년 4월에도 금융 기술 은행인 방코 인터(Banco Inter)를 대상으로 기업공개 전 같은 종류의 갈취 시도가 발생했습니다.

사례 연구: 법 집행 기관 작전

최근 브라질 법 집행 기관의 작전인 ' 오퍼레이션 오스텐션'은 브라질에서 사이버 범죄를 성공적으로 수행한 방법을 요약한 것입니다. 관련 갱단의 리더인 파블로 헨리케 보르헤스는 2018년 10월 11일에 체포되었습니다. 사법 당국과 언론에 따르면, 그와 그의 일당은 18개월 동안 4억 BRL(약 1억 8천만 달러)을 훔쳤습니다. 보르헤스는 24살의 나이에 람보르기니와 페라리 여러 대를 소유하고 값비싼 여행과 습관으로 호화로운 삶을 살고 있었습니다. 라파엘 안토니오 도스 산토스와 마테우스 아라우조 갈바오라는 두 명의 공범도 체포되었습니다.

브라질 해킹 커뮤니티 4-1.jpg

이 조직은 WhatsApp 또는 Facebook 게시물을 통해 최대 50%의 '할인'으로 사람들의 청구서를 지불하겠다고 제안했습니다. 이는 브라질 사이버 범죄자들이 사용하는 일반적인 자금 세탁 기법으로, 은행 계좌에서 현금을 인출하는 대신 청구서 대금을 지불하고 그 일부를 연결되지 않은 계좌로 받는 방식입니다.

범죄 조직이 청구서 대금을 지불하기 위해 총 23,000개가 넘는 은행 계좌에 어떻게 접근했는지는 아직 명확히 밝혀지지 않았습니다. 멀웨어와 피싱 캠페인이 복합적으로 작용했을 가능성이 높습니다. 소프트웨어 개발을 담당한 사람은 24세의 레안드로 사비에르 마갈하에스 페르난데스였습니다. 또한 고등학교 학위는 있지만 그 이상의 정규 교육을 받은 적이 없는 평범한 출신인 그는 갱단의 사업에서 가장 중요한 요소를 책임지고 있었습니다. 저택과 고가의 자동차를 소유한 그의 호화로운 라이프스타일은 고이아니아 지역 경찰의 주목을 끌었습니다.

안타깝게도 이 조직에 대한 핸들, 멀웨어 제품군, 샘플 정보 또는 포럼 이름에 대한 정보는 공개되지 않았습니다. 두 지도자의 배경과 프로필을 고려할 때, 이 작전을 위해 외국의 멀웨어를 입수했을 가능성은 낮고 자체적으로 멀웨어를 개발했을 가능성이 높습니다.

이 특정 법 집행 작전과 관련된 멀웨어의 품질에 대해 언급할 수 있는 추가 정보는 없습니다. 다른 작전과 법 집행 기관의 의견에 따르면 브라질 사이버 범죄자들은 범죄 조직이 아닌 테러리스트 그룹과 유사한 구조로 조직되어 있습니다. 조직은 소프트웨어 개발, 운영, 자금 세탁 등의 셀로 구성되며, 하나 이상의 셀이 중단되더라도 비즈니스에 영향을 미치지 않는 방식으로 운영됩니다. 감염된 사용자가 세션을 열고 2FA 및 기타 보안 제어를 우회하기 위해 상호작용을 하면 운영자에게 알림이 전송됩니다. 2016년 3월, 카스퍼스키는 브라질에서 흔히 볼 수 있는 특정 유형의 원격 액세스 트로이 목마(RAT)에 대해 설명했습니다.

브라질에는 매우 뚜렷한 유형의 해커 그룹이 존재합니다: "웹 포럼의 현지 속어로 초급 해커를 일컫는 '램머'와 합법적인 연구자 및 해커 그룹이 있습니다. 때로는 해커가 웹 포럼에서 진화하기도 하고, 때로는 이 두 서클과 완전히 단절된 것처럼 보이기도 합니다. 이들은 기본적인 소프트웨어 개발 기술을 갖춘 똑똑한 사람들로, 틈새 시장을 개척하고 돈을 벌 수 있는 방법을 찾아낸 사람들입니다.

전망

브라질의 수준 높은 해커들은 보안 통제가 아무리 엄격해지더라도 금융 기관을 계속 악용할 것입니다. 데스크톱 보안은 충분히 높지만, 로컬 사이버 범죄자들은 이러한 제어를 성공적으로 우회할 수 있다는 것이 입증되었습니다. 하지만 데스크톱 보안이 높다고 해서 사이버 범죄를 막을 수 있는 것은 아닙니다.

브라질 사람들의 대다수는 더 이상 데스크톱에서 인터넷 뱅킹을 하지 않고 모바일 클라이언트에서 뱅킹을 합니다. 이체, 일회용 비밀번호, 결제 등 모든 주요 은행은 고객이 모바일 앱을 사용하여 거의 모든 작업을 수행할 수 있도록 허용합니다. 이러한 행동의 변화는 이미 사이버 범죄 활동의 변화를 유도하고 있습니다. 지난 몇 년 동안 WhatsApp이나 모바일 뱅킹 앱과 같이 인기 있는 앱으로 가장한 SMS 피싱(스미싱), 모바일 피싱 키트, 악성 모바일 애플리케이션(Android의 경우 대부분)이 증가했습니다.

브라질에서는 이미 안드로이드 악용이 현실화되고 있으며 이러한 추세는 계속되고 있어 해당 디바이스에 대한 보안 강화가 과제입니다. 고려해야 할 또 다른 중요한 측면은 많은 브라질 사람들, 특히 저소득층은 데스크톱이나 노트북을 소유하지 않아 데스크톱에서 인터넷 뱅킹을 사용하지 않는다는 점입니다.

국내에서의 WhatsApp 사용은 안정적으로 유지되고 있습니다. 이는 앞으로도 사이버 범죄자들의 공격 벡터 중 하나가 될 가능성이 높습니다. 2018년, WhatsApp은 인도에서 WhatsApp 결제라는 기능을 통해 개인 간 결제를 발표하고 배포했습니다. WhatsApp 뉴스 전문 웹사이트인 WABetaInfo에 따르면, 이 기능은 조만간 브라질, 멕시코, 영국으로 확대될 예정이라고 합니다. 이 기능은 브라질에서 악용될 가능성이 높습니다.

관련