러시아의 시크릿블리자드, 러시아 주재 대사관들 공격
- 러시아 시크릿블리자드, 외교 시설 공략
- 중간자 공격 실시...원래 이 방면 전문가
- 러시아에 대사관 있는 나라, 점검해야
러시아의 APT 조직인 시크릿블리자드(Secret Blizzard)가 대사관들을 공략하고 있다는 소식이다. 그것도 러시아 영토 내에 주재하고 있는 시설들이 주요 표적이라고 마이크로소프트(Microsoft)의 보안 팀이 밝혔다. 이 캠페인에서 주로 사용되는 전략은 ‘중간자 공격’이며, 주요 사용되는 멀웨어는 아폴로셰도우(ApolloShadow)다.
중간자 공격(Attacker-in-the-Middle, AitM)이란 사용자(피해자)와, 그 사용자가 도달하려는 사이트(혹은 웹 서비스 등) 사이에 공격자가 끼어드는 기법을 말한다. 사용자는 공격자가 가운데에 있는지도 모르고 자신이 보는 사이트(나 서비스)가 진짜라고 믿게 된다. 그러면서 여러 가지 정보를 입력하는데, 그 정보는 당연히 공격자에게로 넘어간다.
‘중간에 끼어드는 기법’에는 여러 가지가 있는데, 이번 캠페인에서는 공격자가 아폴로셰도우로 루트 인증서를 설치함으로써 이 문제를 해결한다고 MS는 설명한다. “애초에 아폴로셰도우 안에 루트 인증서를 설치하는 기능이 있습니다. 그렇기 때문에 공격자는 자신이 제어하는 사이트에 인증서를 설치하기만 하면, 피해자의 장비나 브라우저는 이 사이트를 신뢰하게 됩니다. 사용자가 별도의 교육을 받던지 해서 수상하다는 걸 감지하기 전까지 장비가 알아서 걸러주는 걸 못하게 되는 거죠.”
공격의 순서
공개된 공격 시나리오는 다음과 같다.
1) 공격용 인프라를 구성하여 아폴로셰도우를 호스팅한다. → 2) 이 인프라를 가짜 캡티브포털에 삽입한다.(캡티브포털은 공공 와이파이 등에 접속하려 할 때 처음 뜨는 정책 안내나 환영 메시지 페이지를 말한다.) → 3) 공격자가 마련한 캡티브포털은 윈도 OS의 ‘연결 상태 테스트 표시기’ 형태를 하고 있다. 원래는 인터넷 연결 상태를 확인하기 위해 특정 MS 도메인에 실제 HTTP GET 요청을 보내는 정식 서비스로, msn.com으로 우회 접속되어야 한다. → 4) 소셜 엔지니어링 등 여러 가지 기법을 동원해 피해자가 이 캡티브포털에 접속하도록 유도한다. → 5) 접속하면 인터넷 연결 테스트가 실패했다는 메시지가 뜬다. 인증서에서 오류가 발견됐으니 새로 받아야 된다는 메시지도 포함돼 있다. → 6) 사용자가 허용하면 아폴로셰도우가 다운로드 된다. → 7) 아폴로셰도우는 C&C 서버와 스스로를 연결시킨 후 피해자 시스템 정보를 전송한다. → 8) 피해자가 관리자 설정을 가지고 있을 경우 CertificateDB.exe라는 바이너리를 실행하고, → 9) 아직 정체가 밝혀지지 않은 비주얼베이직 스크립트를 다운로드 한다. → 10) 아폴로셰도우 프로세스가 다시 실행되며, 사용자 계정 제어(UAC) 팝업창을 띄운다. → 11) 이 창을 통해 높은 권한을 사용자로부터 얻어낸다.
이 캠페인은 적어도 2024년부터 지속된 것으로 분석되고 있다. 다만 아직까지 정확히 어떤 나라에서 피해를 입었으며, 그 규모가 어느 정도 되는지는 파악되지 않고 있다.
시크릿블리자드?
시크릿블리자드는 크립톤(Krypton)이라고도 불리는 공격 조직으로, 러시아 연방보안국(FSB)와 관련이 깊은 것으로 알려져 있다. 회사에 따라 블루파이선(Blue Python), 아이언헌터(Iron Hunter), 펜시브우르사(Pensive Ursa), 스네이크(Snake), 서밋(SUMMIT), 우로부로스(Uroburos), 털라(Turla), 베노머스베어(Venomous Bear), 워터버그(Waterbug) 등으로 불리기도 한다. 러우 전쟁 발발 이후 우크라이나를 공략해 카주어(Kazuar)라는 백도어를 설치하기도 했다.
시크릿블리자드는 중간자 공격이라는 기법을 즐겨 사용한다. 특이하게도 다른 해킹 조직의 C&C 인프라를 장악해 자기들의 공격에 활용하기도 한다. 해킹 조직들끼리 암투를 벌이는 건 흔히 있는 일이지만, 그것을 주요 전략으로 채택해 사용하는 조직은 흔치 않다. 시크릿블리자드의 가장 독특한 점 중 하나다. 파키스탄의 스톰0156(Storm-0156)이라는 해킹 조직이 2022년 이들에게 당하기도 했다.
중간자 공격이란
중간자 공격은 크게 다섯 가지 유형으로 나뉜다. HTTPS 스푸핑, SSL 스트리핑, 와이파이도청, DNS스푸핑, 세션하이재킹이다. HTTPS 스푸핑은 사용자들이 ‘나는 안전한 사이트에 접속해 있다’고 믿게 만드는 것이고, SSL 스트리핑은 HTTPS를 HTTP로 다운그레이드 해 암호화 보호 장치를 없애는 것이다. 와이파이도청은 가짜 와이파이 핫스팟을 만들어 접속을 유도하는 것이고, DNS스푸핑은 사용자를 가짜 웹사이트로 우회 접속시키는 것이다. 세션하이재킹은 토큰이나 쿠키를 가지고 활성화 된 세션을 장악하는 것을 말한다.
공격자들은 주로 온라인 뱅킹 고객들과 온라인 뱅킹 서비스 사이에 끼어들어 은행인 척 하는데, 그러면 피해자들이 접속해 뱅킹 관련 정보를 입력한다. 이는 금전 손실로도 이어진다. 이메일 계정도 이런 식으로 도난 당하고, 각종 전자상거래 플랫폼 관리자 계정도 빼앗길 수 있다. 재택 근무나 원격 파견자의 VPN 로그인 정보가 탈취된 사례도 존재한다.
보안 전문가들은 “항상 HTTPS로 연결하고, 공공 와이파이 연결을 통해서는 민감한 서비스를 사용하지 말라”고 권한다. 가능하면 VPN을 사용해 트래픽을 암호화 하고, 시스템과 브라우저를 최신화 시켜두는 것도 중요하다. 가능하면 다중인증 옵션을 켜두는 것도 중간자 공격을 막는 데 유용하다. 이번 시크릿블리자드 캠페인과 같은 공격이 들어올 때는 인증서 관련 오류가 뜬금없이 뜰 수 있으니, 혹시 그런 오류가 최근 있었다면 시스템을 점검하고 여러 계정들의 비밀번호를 바꾸는 것이 안전하다.
Related Materials
- Russia-affiliated Secret Blizzard conducting ongoing embassy cyber-espionage in Moscow – Microsoft 보고 - CyberScoop, 2025년
- Russian hackers target local internet to spy on embassies in Moscow, Secret Blizzard ATP – Nextgov, 2025년
- Russian hackers try to spy on foreign embassies in Moscow using local ISPs, Secret Blizzard 작전 분석 – UNN News, 2025년
- Russian Hackers Pose as Cyber Firm to Spy on Embassies – Bloomberg, 2025년
JustAnotherEditor
CheifEditor
