(cache) 카스퍼스키 랩

Global Website

Americas:

Western Europe:

Eastern Europe:

Middle East & Africa

Asia & Pacific

For all other countries:
visit our Global Website

체험판

제품소개

제품구매

보안위협

다운로드

고객지원

파트너

회사소개

홈

회사소개

새 소식

카스퍼스키랩, 기업 경영진을 노린 ‘다크호텔 APT’ 공격 경고

보안 및 위협 관리 솔루션 분야의 선두주자 카스퍼스키랩(지사장 이창훈, www.kaspersky.co.kr)은 아시아의 고급호텔에 머물고 있는 기업 경영진들을 대상으로 한 ‘다크호텔’ 스파이 공격이 자행되고 있다고 밝혔다.

이 공격은 장기간 호텔 외부에서 기밀 정보를 추적할 수 있는 진화된 수법으로 수많은 기기를 통해 지난 수 년 동안 전세계적으로 확산됐다.

일반적으로 비즈니스 여행객들은 출장을 가서 호텔에 머무는 동안 와이파이 네트워크에 접속하기 위해 이름과 객실 번호를 입력한다. 이 점을 악용해 공격자들이 공격 대상을 식별하고, 민감한 정보를 탈취하는 백도어의 설치를 유도하는 수법을 사용했다.

호텔 공격 방법

기업 경영진들이 호텔 와이파이(Wi-Fi) 네트워크에 접속하면 구글 툴바, 어도비 플래시 또는 윈도우 메신저 등의 유명 소프트웨어의 업데이트를 요구하는 가짜 팝업 창이 나타난다. 이 때 기업 경영진들이 이를 설치하면, 다크호텔 지능형 지속공격(APT)용 백도어 악성 코드가 설치된다.
백도어는 디지털 서명이 된 고급 키로거 프로그램과 일명 ‘카르바(Karba)’ 트로이목마 및 기타 정보 탈취 모듈로 구성된 툴 세트이다. 이들 툴을 사용해 시스템과 관련된 각종 데이터와 악성코드 차단 소프트웨어 정보를 수집하며, 파이어폭스, 크롬 및 인터넷 익스플로러에 저장된 암호 정보, 지메일 알리미, 트위터, 페이스북, 야후 및 구글 로그인 정보 및 기타 개인 정보를 추적한다.

이렇듯 이번 ‘다크호텔’ 공격은 매우 정확하게 목표를 선별할 수 있어 피해자가 높은 수준의 보안 위험에 처할 수 있다.

다크호텔 공격툴 유포

다크호텔 공격자들은 아시아 지역의 호텔에 있는 기업 경영진들을 감시할 뿐 아니라 P2P/파일 공유 네트워크를 활용한 악성 코드 배포 및 특정 조직 대상의 정밀 피싱 이메일으로도 목표로 한 피해자들을 공격한다.

카스퍼스키랩의 전문가들은 방위 및 산업 업체, 정부기관, 대규모 전자제품 제조업체, 제약회사 등 가치 있는 정보를 지닌 기업을 목표로 한 동일 공격자에 의해 진행된 사건을 조사했다. 이 공격들은 완벽하게 위장된 다크호텔 공격과 함께 전형적인 스피어 피싱으로 이뤄졌다. 이메일-미끼 콘텐츠는 흔히 핵 에너지와 무기 기능과 같은 주제를 포함한다. 지난 수 년 동안 스피어피싱 이메일은 어도비의 제로데이 익스플로잇을 첨부하거나 인터넷 익스플로러 제로데이 익스플로잇으로 공격 대상을 유도하는 웹사이트 링크를 걸었다.
공격자는 한 번에 수 많은 파일 배포가 가능한 토렌트 P2P 공유 네트워크를 통해 애니메이션 포르노 동영상으로 위장한 악성 코드를 널리 배포한다. 일부 호텔 비즈니스 센터 사용자들은 이와 같은 토렌트 등의 여러 배포 수법에 쉽게 걸려드는 것으로 나타났다. 일단 배포된 백도어를 통해 피해자의 중요도를 확인한 후 추가적인 공격 툴을 다운로드 하도록 하며 이를 통해 공격자들이 가치 있는 정보에 접근할 수 있도록 지원한다.

다크호텔 APT 공격 배후

커트 바움가트너(Kurt Baumgartner) 카스퍼스키랩 수석 보안 연구원은 “지난 수년 동안 다크호텔로 명명된 강력한 공격자는 전형적인 사이버 범죄 행위를 넘어서는 방법과 기술을 사용해 전 세계를 대상으로 수 많은 공격을 성공적으로 진행해왔다. 다크호텔은 인프라 운영 능력과 수학적이며 암호화된 강력한 기능을 갖추고 있으며, 신뢰 가능한 상용 네트워크를 악용하고 전략적으로 특정 피해자를 분류할 수 있는 충분한 여러 자원들을 보유하고 있다. 또한, 공격자는 수 년 동안 이를 운영할 자원이 있고, 필요 시 제로데이 공격을 사용한다”고 말했다.

다크호텔의 악위적인 행위는 고도의 타겟 공격인 동시에 악성 코드의 무분별한 확산이다. 그 예로, APT 공격자은 카르바 트로이목마 바이러스를 .rar 압축 파일의 일부로 비트토렌토(BitTorrent)를 통해 대량으로 퍼뜨린다. 또한, 저비용의 인프라로 제로데이 공격과 고급 키로거가 포함된 잘 개발된 툴을 지원한다.

커트 바움가트너 또한 “우리는 장기간 계속돼 온 APT와 수 많은 보고되지 않은 공격들이 일상적으로 발생되는 것을 보아 왔다. 이러한 타깃화되고 무분별한 두 공격의 결합은 보다 일반적인 APT 모습이 될 것”이라고 덧붙였다.

다크호텔 공격 차단 방법

호텔 또는 비즈니스 센터에서 공용 네트워크를 사용하는 것은 잠재적으로 위험한 행동임을 인지하고 있어야 한다. 다크호텔 사례는 공격 수법의 진화를 보여주는 일례로 가치 있는 정보를 지닌 개인은 다크호텔 공격과 유사한 위험에 쉽게 빠질 수 있다. 이를 방지하기 위한 몇 가지 주의사항은 다음과 같다.