올림픽 IT 인프라의 타깃팅은 여전히 미귀속 상태입니다.

올림픽 IT 인프라의 타깃팅은 여전히 미귀속 상태입니다.

주요 판단

Executive Summary

주요 통신 및 IT 제공업체가 평창 올림픽을 방해하기 위한 작전의 일환으로 알려지지 않은 위협 행위자의 표적이 되었습니다. 레코디드 퓨처는 이 캠페인에 사용된 올림픽 디스트로이어 멀웨어에 내장된 IT 제공업체의 하드코딩된 크리덴셜을 확인했습니다. 소량의 코드가 겹치면 악성코드가 수많은 이질적인 위협 그룹과 연결되기 때문에 궁극적으로 올림픽 파괴자 악성코드를 개발한 위협 행위자를 식별하는 데 도움이 되지 않습니다.

배경

2017년 12월 평창 올림픽을 앞두고 한 주요 통신 및 IT 제공업체가 알려지지 않은 위협 행위자의 표적이 되었습니다.

이 악성 소프트웨어는 일반적으로 '올림픽 디스트로이어'로 알려져 있으며, Talos 연구진에 의해 처음 발견되었습니다. 연구자들은 올림픽 디스트로이어가 2월 9일 올림픽 개막식을 방해하기 위해 사용되었다고 추측하고 있습니다. 이 파괴적인 악성 소프트웨어는 Psexec 및 WMI를 통해 네트워크 내에서 수평적으로 이동하여 호스트를 감염시키고 데이터를 사용 불가능하게 만듭니다. Psexec와 WMI는 Windows에 내장된 내부 도구입니다. Psexec는 공유 네트워크 내의 다른 시스템에서 프로세스를 실행하는 데 사용되며, WMI는 원격 시스템에서 작업을 자동화하는 데 사용됩니다. 이 악성 소프트웨어는 또한 비밀번호 도용 도구인 Mimikatz를 사용하여 감염된 시스템에서 자격 증명을 추출하며, 이를 통해 대상 네트워크 내에서 이동할 수 있도록 합니다. 마이크로소프트 연구진은 최근 랜섬웨어에 의해 전파 방법으로 악용된 유출된 익스플로잇인 EternalRomance의 사용 증거가 존재한다고 밝혔으나, 이 주장을 확인하지 못했습니다.

위협 분석: 두 갈래의 캠페인

레코디드 퓨처는 평창 올림픽을 노리는 확장된 멀웨어 세트가 추가 액티브 디렉터리 자격 증명 세트를 사용하는 것을 발견했습니다. 인증정보의 다양성과 소프트웨어 키의 존재는 초기 정찰 단계에 단순한 인증정보 피싱이 아닌 초기 멀웨어 감염이 포함될 가능성이 높다는 것을 시사합니다.

IT 제공업체를 표적으로 삼은 올림픽 디스트로이어 변종 멀웨어의 모든 샘플은 탈로스 연구원들이 평창 2018 네트워크를 표적으로 삼은 것으로 확인된 샘플을 수집하기 5분 전에 타임스탬프가 찍혔습니다. 이는 주최 측과 인프라 제공업체 모두를 겨냥해 올림픽 이벤트를 공략하는 두 가지 시도를 병행하고 있음을 시사합니다.

보고되지 않은 추가 멀웨어 해시는 아래 부록에 포함되어 있습니다.

참고: 하드코딩된 크리덴셜을 발견한 즉시 Recorded Future는 책임감 있는 공개 관행을 준수하고 관련 IT 제공업체에 알리고 캠페인에 대한 세부 정보를 제공했습니다. 독립적인 포렌식 조사가 진행 중이며 현재로서는 피해가 보고되지 않았습니다.

기술적 분석: 어트리뷰션은 여전히 애매합니다

현재 고급 연구 팀들이 가장 혁신적으로 활용하고 있는 기술 중 하나는 대규모로 코드 유사성을 탐색하는 것입니다. 구글 연구진은 이 기술을 처음으로 눈에 띄게 활용해 북한 위협 행위자 스카스크루프트(Scarcruft)와 워나크라이(WannaCry) 와 같은 이전에 귀속되지 않은 캠페인을 클러스터링했으며, 결국 두 캠페인을 모두 라자루스 그룹(Lazarus Group)과 연결시켰습니다. BAE 연구진은 방글라데시 SWIFT 해킹 사건에서 BlueNoroff가 사용한 악성 소프트웨어에서 첫 번째 중복 부분을 발견했으며, 이는 공유된 삭제 기능을 사용한 점을 통해 다시 한 번 북한을 지목했습니다. 카스퍼스키 연구진은 이 방법을 사용하여 CCleaner를 표적으로 삼은 트로이목마를 Axiom 그룹과 연결했으며, 이와 같은 방식으로 추가 분석을 진행했습니다.

이 기법의 문제점은 코드 유사성을 공유된 바이트 비율까지 확실하게 말할 수 있지만, 그 결과가 간단하지 않고 전문가의 해석이 필요하다는 점입니다. 올림픽 디스트로이어 멀웨어는 유사성에 대한 기준이 너무 낮을 때 이 클러스터링 기법에 의해 어떻게 잘못 인도될 수 있는지를 보여주는 완벽한 예입니다.

올림픽 디스트로이어는 클러스터링되지 않고 귀속되지 않은 상태로 남아 있습니다. 이 기술은 여전히 전문가의 해석이 필요하기 때문에, 우연적이거나 불완전한 분석은 북한, 중국 또는 러시아의 방향을 가리키는 등 겉보기에는 일관성 있는 내러티브를 만들어낼 수 있습니다. 이는 충분히 낮은 상관 임계값으로 코드를 살펴볼 때 발생합니다.

다음은 코드 유사성 분석을 기반으로 올림픽 파괴자 멀웨어에서 도출된 몇 가지 이질적인 관찰 결과입니다:

중국: Intezer 연구진은 일반적인 중국 클러스터 내에서 APT3 (UPS), APT10 (menuPass), 및 APT12 (IXESHE)를 포함한 다양한 위협 행위자들과의 코드 유사성 조각을 최초로 지적했습니다.

북한: 우리 자체 조사 결과, 올림픽 디스트로이어 모듈과 라자루스 그룹이 사용한 여러 악성 소프트웨어 가족 간에 사소한 그러나 일관된 코드 유사성이 발견되었습니다. 이에는 BlueNoroff Banswift 악성 소프트웨어 내의 표준이지만 서로 다른 기능, Novetta Blockbuster 보고서에 언급된 Lazarus 악성 소프트웨어의 LimaCharlie 계열, 그리고 Lazarus SpaSpe 악성 소프트웨어에서 도메인 컨트롤러를 표적으로 삼기 위해 설계된 모듈이 포함됩니다.

이렇게 다양한 위협 행위자들이 올림픽을 방해하려는 악의 축을 형성했다고 결론을 내리기 전에 한 걸음 물러서서 연구 기법을 살펴볼 필요가 있습니다.

코드 유사성은 역사적으로 새로운 캠페인을 알려진 위협 행위자와 클러스터링하는 데 중요한 연구 결과를 가져왔으며 연구 및 멀웨어 분류에 여전히 큰 잠재력을 가지고 있습니다. 그러나 유사성 임계값이 너무 낮아서 몇 가지 기능에 집중하거나 그 이하인 경우에는 면밀한 검토와 분별력이 필요합니다. 이전의 어트리뷰션 방법과 마찬가지로, 연구자들은 끊임없이 다가오는 공격자의 적응성 위협에 대해 경계를 늦추지 말아야 합니다.

이스라엘 국가 주도의 위협 행위자 Flame은 이전에 이론적으로만 존재하던 암호화 공격을 활용해 수평적으로 확산되었습니다. 위협 그룹 Turla는 피해자의 시스템에 관련 없는 악성 코드를 설치하여 사고 대응 팀을 혼란에 빠뜨렸으며, Lamberts는 정확한 클러스터링을 회피하기 위해 무작위로 선택한 깨끗한 코드를 암호화 키로 사용하기 위해 결합했습니다. 우리의 적들은 자원이 풍부합니다. 코드 유사성 클러스터링을 속이는 것은 상당한 노력과 기술이 필요하지만, 적절한 동기를 가진 결의가 강한 고수준 공격자들이 이를 가능하게 할 수 있다는 점을 고려해야 합니다.

전망

평창 동계올림픽을 방해하기 위한 작전은 당초 보고된 것보다 더 광범위하게 진행되었으며, 조직위원회와 인프라를 동시에 표적으로 삼았습니다. 멀웨어에 내장된 다양한 확산 메커니즘은 이러한 네트워크 내에서 확산되어 최대한의 피해를 입히려는 공격적인 노력을 시사합니다. 악성코드에서 코드가 겹치는 부분이 동시에 발생하면 증거를 희석하고 연구자들을 혼란스럽게 하려는 거짓 플래그 작업의 징후일 수 있습니다. 당분간 어트리뷰션은 결정적이지 않습니다.