>
연구(Insikt)

올림픽 IT 인프라의 타깃팅은 여전히 미귀속 상태입니다.

게시일: 2018년 2월 14일
작성자: Insikt Group

insikt-group-logo-updated-3-300x48.png

전체 분석 내용을 PDF로 다운로드하려면 여기를 클릭하세요.

주요 판단

  • 올림픽 디스트로이어는 악성 코드의 파괴적인 특성과 측면으로 확산되는 강력한 메커니즘으로 인해 높은 수준의 주의를 기울여 다루어야 합니다.
  • 올림픽 디스트로이어의 멀웨어 코드 유사성에 대한 논평과 분석을 통해 많은 단서가 나왔지만 결정적인 단서를 찾지는 못했습니다.
  • 멀웨어에서 서로 다른 코드가 겹치는 경우, 증거를 희석하고 연구자들을 혼란스럽게 하려는 거짓 플래그 작업의 징후일 수 있습니다.

Executive Summary

주요 통신 및 IT 제공업체가 평창 올림픽을 방해하기 위한 작전의 일환으로 알려지지 않은 위협 행위자의 표적이 되었습니다. 레코디드 퓨처는 이 캠페인에 사용된 올림픽 디스트로이어 멀웨어에 내장된 IT 제공업체의 하드코딩된 크리덴셜을 확인했습니다. 소량의 코드가 겹치면 악성코드가 수많은 이질적인 위협 그룹과 연결되기 때문에 궁극적으로 올림픽 파괴자 악성코드를 개발한 위협 행위자를 식별하는 데 도움이 되지 않습니다.

배경

2017년 12월 평창 올림픽을 앞두고 한 주요 통신 및 IT 제공업체가 알려지지 않은 위협 행위자의 표적이 되었습니다.

일반적으로 올림픽 파괴자라고 불리는 이 멀웨어는 탈로스 연구진에 의해 처음 발견되었습니다. 연구원들은 올림픽 디스트로이어가 2월 9일 올림픽 개막식을 방해하기 위해 사용되었다는 가설을 세웠습니다. 파괴적인 멀웨어는 Psexec 및 WMI를 통해 네트워크 내에서 횡방향으로 이동하여 호스트를 감염시키고 데이터를 쓸모없게 만듭니다. Psexec과 WMI는 Windows 내부에 내장된 도구로, Psexec은 공유 네트워크의 다른 시스템에서 프로세스를 실행하는 데 사용되며 WMI는 원격 시스템에서 작업을 자동화하는 데 사용됩니다. 또한 이 멀웨어는 비밀번호 탈취 도구인 Mimikatz를 사용하여 감염된 컴퓨터에서 자격 증명을 추출하고 대상 네트워크를 통해 이동할 수 있습니다. Microsoft 연구원들은 최근 랜섬웨어가 전파 수단으로 악용한 유출된 익스플로잇인 이터널로맨스가 사용된 증거도 있다고 말했지만, 이 주장을 확인할 수는 없었습니다.

위협 분석: 두 갈래의 캠페인

레코디드 퓨처는 평창 올림픽을 노리는 확장된 멀웨어 세트가 추가 액티브 디렉터리 자격 증명 세트를 사용하는 것을 발견했습니다. 인증정보의 다양성과 소프트웨어 키의 존재는 초기 정찰 단계에 단순한 인증정보 피싱이 아닌 초기 멀웨어 감염이 포함될 가능성이 높다는 것을 시사합니다.

IT 제공업체를 표적으로 삼은 올림픽 디스트로이어 변종 멀웨어의 모든 샘플은 탈로스 연구원들이 평창 2018 네트워크를 표적으로 삼은 것으로 확인된 샘플을 수집하기 5분 전에 타임스탬프가 찍혔습니다. 이는 주최 측과 인프라 제공업체 모두를 겨냥해 올림픽 이벤트를 공략하는 두 가지 시도를 병행하고 있음을 시사합니다.

보고되지 않은 추가 멀웨어 해시는 아래 부록에 포함되어 있습니다.

참고: 하드코딩된 크리덴셜을 발견한 즉시 Recorded Future는 책임감 있는 공개 관행을 준수하고 관련 IT 제공업체에 알리고 캠페인에 대한 세부 정보를 제공했습니다. 독립적인 포렌식 조사가 진행 중이며 현재로서는 피해가 보고되지 않았습니다.

기술적 분석: 어트리뷰션은 여전히 애매합니다

현재 고급 연구팀에서 사용하는 가장 혁신적인 기술 중 하나는 대규모로 코드 유사성을 찾는 것입니다. 구글 연구원들은 이 기법을 최초로 사용하여 북한의 위협 행위자인 스캐크루프트와 워너크라이의 캠페인과 같이 이전에 출처가 밝혀지지 않은 캠페인을 클러스터링하여 궁극적으로 두 캠페인을 라자루스 그룹과 연결시키는 데 성공했습니다. BAE 연구원들은 방글라데시 SWIFT 강탈에 사용된 블루노로프가 사용한 멀웨어에서 공유 삭제 기능의 사용에 주목하며 다시 한 번 북한을 지목했습니다. 카스퍼스키 연구원들은 이 방법을 사용하여 CCleaner를 표적으로 삼는 트로이 목마를 Axiom 그룹과 연결했습니다.

이 기법의 문제점은 코드 유사성을 공유된 바이트 비율까지 확실하게 말할 수 있지만, 그 결과가 간단하지 않고 전문가의 해석이 필요하다는 점입니다. 올림픽 디스트로이어 멀웨어는 유사성에 대한 기준이 너무 낮을 때 이 클러스터링 기법에 의해 어떻게 잘못 인도될 수 있는지를 보여주는 완벽한 예입니다.

올림픽 디스트로이어는 클러스터링되지 않고 귀속되지 않은 상태로 남아 있습니다. 이 기술은 여전히 전문가의 해석이 필요하기 때문에, 우연적이거나 불완전한 분석은 북한, 중국 또는 러시아의 방향을 가리키는 등 겉보기에는 일관성 있는 내러티브를 만들어낼 수 있습니다. 이는 충분히 낮은 상관 임계값으로 코드를 살펴볼 때 발생합니다.

다음은 코드 유사성 분석을 기반으로 올림픽 파괴자 멀웨어에서 도출된 몇 가지 이질적인 관찰 결과입니다:

중국: Intezer 연구원들은 APT3(UPS), APT10(메뉴패스), APT12(IXESHE) 등 일반 중국 클러스터의 다양한 위협 행위자들과 코드 유사성을 최초로 발견했습니다.

북한: 자체 조사 결과 Olympic Destroyer 모듈과 Lazarus Group이 사용하는 여러 멀웨어 제품군 간에 사소하지만 일관된 코드 유사성이 발견되었습니다. BlueNoroff Banswift 멀웨어, Novetta Blockbuster 보고서의 LimaCharlie 계열 Lazarus 멀웨어, 도메인 컨트롤러를 대상으로 하는 Lazarus SpaSpe 멀웨어 모듈 내의 여러 표준 기능이 여기에 포함됩니다.

이렇게 다양한 위협 행위자들이 올림픽을 방해하려는 악의 축을 형성했다고 결론을 내리기 전에 한 걸음 물러서서 연구 기법을 살펴볼 필요가 있습니다.

코드 유사성은 역사적으로 새로운 캠페인을 알려진 위협 행위자와 클러스터링하는 데 중요한 연구 결과를 가져왔으며 연구 및 멀웨어 분류에 여전히 큰 잠재력을 가지고 있습니다. 그러나 유사성 임계값이 너무 낮아서 몇 가지 기능에 집중하거나 그 이하인 경우에는 면밀한 검토와 분별력이 필요합니다. 이전의 어트리뷰션 방법과 마찬가지로, 연구자들은 끊임없이 다가오는 공격자의 적응성 위협에 대해 경계를 늦추지 말아야 합니다.

이스라엘 국가가 후원하는 위협 행위자 Flame은 이전에 이론적으로만 존재했던 암호화 공격을 활용하여 측면으로 확산시켰습니다. 위협 그룹 Turla는 피해자의 컴퓨터에 관련 없는 멀웨어를 설치하여 사고 대응자들을 혼란스럽게 만들었고, 램버트는 정확한 클러스터링을 피하기 위해 암호화 키로 사용할 임의의 클린 코드를 연결했습니다. 우리의 적들은 수완이 뛰어납니다. 코드 유사도 클러스터링을 속이는 데는 상당한 노력과 기술이 필요하지만, 적절한 동기를 가진 단호하고 높은 수준의 공격자에게는 가능하다는 점을 고려해야 합니다.

전망

평창 동계올림픽을 방해하기 위한 작전은 당초 보고된 것보다 더 광범위하게 진행되었으며, 조직위원회와 인프라를 동시에 표적으로 삼았습니다. 멀웨어에 내장된 다양한 확산 메커니즘은 이러한 네트워크 내에서 확산되어 최대한의 피해를 입히려는 공격적인 노력을 시사합니다. 악성코드에서 코드가 겹치는 부분이 동시에 발생하면 증거를 희석하고 연구자들을 혼란스럽게 하려는 거짓 플래그 작업의 징후일 수 있습니다. 당분간 어트리뷰션은 결정적이지 않습니다.

관련 보안 침해 지표의 전체 목록을 보려면 부록을 다운로드하세요.

관련