보안

러시아 사이버 공격 그룹 ‘APT28’ .. 호텔 공격에 나섰다

발행일시 : 2017-08-17 01:33

파이어아이(지사장 전수홍)가 러시아 기반 사이버 위협 그룹 ‘APT28’이 호텔을 주 공격대상으로 삼고 있다고 발표했다.

APT 28은 와이파이 트래픽에서 비밀번호를 알아내거나 넷바이오스(NetBIOS) 네임 서비스(Name Service)를 공격하고 이터널블루(Eternal Blue) 익스플로잇을 통해 공격을 확산시키고 있다.

파이어아이는 7월 초, 7개의 유럽 국가와 하나의 중동 국가에 위치한 다수의 호텔 기업에 피싱 이메일로 전송 된 악의적 문서파일을 포착했다. 악의적 문서파일의 매크로가 성공적으로 실행되는 경우 APT28 대표적인 악성코드인 게임피쉬(GAMEFISH)가 설치된다.

APT28은 여행객들을 대상으로 악성코드 유포에 이터널블루 익스플로잇과 오픈소스 툴 리스폰더(Responder)등 새로운 기술을 사용하고 있다. APT28은 호텔의 네트워크에 침임 후 투숙객 및 호텔 내부 와이파이 네트워크를 제어하는 기기를 찾아낸다. 이번 공격을 받은 호텔에서는 고객 정보가 유출되지 않았지만 지난 2016년 가을에 있었던 공격의 경우, APT28이 호텔 와이파이 네트워크에서 유출된 것으로 보이는 개인 정보를 통해 피해자의 네트워크에 처음 접근한 것으로 밝혀졌다.

APT28은 기업 및 고객 와이파이 네트워크에 연결된 기기를 통해 리스폰더를 배포한다. 리스폰더는 넷바이오스 네임 서비스(NBT-NS) 공격을 용이하게 하는 역할을 맡는다. 이 기술은 네트워크 리소스와의 연결을 시도하기 위해 피해자의 컴퓨터에서 넷바이오스 네임 서비스를 살핀다. 그 후, 리스폰더는 발견된 네트워크 리소스로 위장하여 피해자의 컴퓨터가 아이디와 비밀번호를 공격자의 기기로 보내게 만든다.

러시아 사이버 공격 그룹 ‘APT28’ .. 호텔 공격에 나섰다

다크호텔(Darkhotel)로 알려진 해커 조직은 소프트웨어 업데이트로 가장해 아시아 지역 호텔 네트워크를 감염시켰다. 호텔 업계를 향한 사이버 스파이 행위는 운영 정보를 수집하는 데에 그 목적이 있다. 특히, 해외 출장 중 업무를 보는 경우에는 이러한 시스템을 사용하는 경우가 많아 위협에 노출될 확률이 더욱 높아진다.

이러한 사건들은 APT28에 의해 이용되는 새로운 감염 경로를 보여준다. 다크호텔은 개인 정보를 훔치기 위해 불안정한 호텔 와이파이 네트워크를 활용하고, 공격자의 권한을 상승시키기 위해 넷바이오스 네임 서비스 공격 유틸리티를 이용한다. 다크호텔이 감염 경로를 확대하며 APT28의 광범위한 기술과 전략은 점점 더 정제되고 발전하고 있다. 공공 와이파이 네트워크는 심각한 위협을 안고 있으며, 가능한 한 사용을 피해야 한다.

전수홍 파이어아이 코리아 지사장은 “APT28은 불안정한 호텔 와이파이 네트워크를 새로운 감염 매개로 이용하고 있다. 이로 인해, 피싱 이메일을 열거나 특정 웹사이트를 방문하지도 않았으며 단지 와이파이를 사용한 많은 호텔 투숙객들이 피해를 보았다”며 “여행객들은 해외 여행 중 발생 가능한 위협을 충분히 인식하고 데이터와 시스템 보안을 위해 추가적인 주의를 기울여야 한다. 또한, 호텔 업계는 반드시 적절한 보안 시스템을 도입해 네트워크 가시성과 함께 인텔리전스 보안 역량을 확보해야 한다.”고 말했다.

이향선기자 hslee@nextdaily.co.kr

© 2017 nextdaily.co.kr 무단전재 및 재배포금지

(주)넥스트데일리 | 등록번호 : 서울 아 01185 | 등록일 : 2010년 03월 26일 | 제호 : 넥스트데일리 | 발행·편집인 : 이선기
서울시 금천구 가산디지털2로 123, 701호ㅣ발행일자 : 2005년 08월 17일 | 대표전화 : 02-6925-6318 | 청소년보호책임자 : 나성률

Copyright © Nextdaily. All Rights Reserved