청호PENTEST - Professional Penetration Testing Company

Select Language
조회 수 : 54
2017.06.20 (08:58:12)
세르비아 및 러시아와 친한 것처럼 보이나 북미 사정에 훤해 보여
캐나다 광산 업체들과 도박 업체들에게 집중 공격 가해지고 있어


FIN10이라고 명명된 해킹 그룹이 캐나다 기업들을 공격해 수천만 달러의 비트코인을 내놓으라고 협박하고 나섰다. 이 그룹은 적어도 2013년부터 공격을 시작한 것으로 보인다. 이를 발견한 건 보안 업체 파이어아이(FireEye)로, 지난 몇 주간 지속된 협박에 대해서 지난 주말에 발표했다.

[이미지 = iclickart]


FIN10 의 전형적인 공격방식은 다음과 같다. 1) 먼저 피해자의 네트워크에 침투해 민감한 기업 정보와 전략 관련 문건들을 훔쳐낸다. 2) 개인식별정보 등 민감한 자료들도 함께 훔쳐낸다. 3) 그런 후 해당 기업에 협박을 시작한다. 약 100~500 비트코인을 요구하는 것으로 알려졌다. 이는 1억 2400만원에서 6억 2천만원에 해당한다.

만약 요구된 금액을 내지 못했을 경우 FIN10은 중요 OS 파일들을 삭제해 윈도우 시스템을 완전히 파괴시키고 시스템이 가동되지 못하도록 한다. FIN10은 여태까지 알려지지 않은 해킹 단체로 금전적인 목적을 가지고 파괴행위를 해온 여타 다른 그룹들과는 차이점을 보인다고 파이어아이의 수석 컨설턴트인 찰스 프레보스트(Charles Prevost)는 설명한다.

여태까지 이들에게 공격당한 기업들은 전부 캐나다의 광산업과 카지노 산업에 속해 있는 곳들이라고 한다. 또한 FIN10은 굉장히 파괴적으로 피해자 그룹에 피해를 끼친다고 한다. “시스템을 파괴하고, 기업을 협박하고, 임원진들을 조롱합니다. 또한 훔친 데이터를 대중에게 공개하는 데에 있어 거리낌이 없는 모습을 보입니다.”

FIN10은 추적자를 따돌리는 데에 매우 능숙한 모습을 보이며, 스스로 세르비아나 러시아와 가까운 관계에 있는 것처럼 보이려고 한다는 특징을 가지고 있다. 그러나 피해 기업들이나 지역을 보면 오히려 북미 사정에 훤한 것으로 보인다. “FIN10의 통신을 일부 가로챘을 때, 러시아어가 능숙한 사람들은 아닌 것이 거의 확실해졌습니다. 오히려 번역기를 사용해 영어를 러시아어로 번역한 것 같은 모습을 많이 보였습니다.”

현재 FIN10은 네트워크 침해 및 데이터 탈취에 높은 효율을 보이고 있다고 한다. 또한 기업을 협박하고 높은 금액을 비트코인으로 받아내는 것에도 능숙함이 눈에 띄어 한두 해 활동한 신생 기업 같아 보이지 않는다.

FIN10 은 메타스플로잇(Metasploit), 파워쉘 엠파이어(PowerShell Empire), 스플린터랫(Splinter RAT) 등 시중에 나와 있는 소프트웨어 툴과 스크립트, 테크닉만을 사용해 네트워크에 침투하고, 권한을 상승시키며, 네트워크를 동-서로 움직여 데이터를 빼내간다. 아직까지는 독자적으로 개발한 툴이나 멀웨어가 사용된 경우는 없었다.

또한 최초 진입을 위해 FIN10이 주로 사용하는 전략은 밝혀진 바가 없다. 하지만 여러 가지 증거를 모아봤을 때 스피어피싱 공격이 가장 유력해 보인다. 그 외에 미터프리터(Meterpreter), 파워쉘(PowerShell), 윈도우 원격 데스크톱 프로토콜을 활용해 네트워크에 침투해 상주하는 것을 즐겨하는 것으로 보인다. 그리고 pastebin.con과 justpaste.it과 같은 웹사이트로 데이터를 업로드하거나 드롭박스 같은 서비스를 통해 파일을 공유한다. 먼저는 피해자에게 보여줄 일부분만 공유, 유출하고, 돈을 다 내지 못할 경우 대중에게 모든 데이터를 공개한다.

“많은 경우 피해자의 파일 서버에 접속해, 저장되어 있는 모든 것을 다운로드 합니다. 그런 다음 피해자에게 해당 사실을 알리고 약 10일의 기한을 주고 돈을 내라고 하죠. 10일 안에 돈이 다 들어오지 않으면 1차로 데이터 일부를 대중에게 공개합니다. 추가 72시간 안에 돈이 여전히 들어오지 않으면 2차 데이터 공개가 시작되고요. 그런 식으로 72시간마다 한 번씩, 돈이 들어오거나 데이터가 전부 공개될 때까지 데이터를 조금씩 공개합니다.”

돈 을 내지 않고 버틴다고 상황이 끝나는 것도 아니다. “중요 네트워크에 침투할 수 있었고, 민감한 정보들을 다 가지고 가버렸기 때문에 공격자들이 생산 시스템 자체를 셧다운 시킬 수도 있고, 실제 그렇게 한 경우가 많습니다. 여기까지 오면 대부분 돈을 낼 수밖에 없죠.”
번호 제목 닉네임 조회 등록일
6506 CIA, 몇 년 전부터 와이파이 라우터 해킹해 왔다...해킹 대상 기기 공개
[레벨:30]관리자
55 2017-06-20
Selected 새로운 해킹 단체 FIN10 등장! 캐나다 기업 공격 중
[레벨:30]관리자
54 2017-06-20
6504 페이스북 방문자 추적 서비스 주의…계정 탈취 당할 수 있어
[레벨:30]관리자
63 2017-06-19
6503 엠투소프트 ActiveX 사용자, 악성코드 감염 주의
[레벨:30]관리자
50 2017-06-19
6502 ‘랜섬웨어 공포’ 노린 메일 유포! “감염 안 되려면 비트코인 내놔”
[레벨:30]관리자
46 2017-06-19
6501 어도비 제품군 최신 보안취약점…악성코드 감염 위험 커 주의
[레벨:30]관리자
51 2017-06-16
6500 사이버 공격자들, Samba 취약점 악용해 시스템 공격…주의
[레벨:30]관리자
47 2017-06-16
6499 전력그리드 공격용으로 제작된 크래쉬 오버라이드 악성코드
[레벨:30]관리자
54 2017-06-16
6498 랜섬웨어 공격자들, 이미 지난해부터 한국 호스팅 업체 공격해 돈 맛 봤다
[레벨:30]관리자
55 2017-06-16
6497 미국이 디도스 봇넷의 배후로 북한을 공식 지목했다
[레벨:30]관리자
55 2017-06-16
6496 CVE-2017-8551 外
[레벨:30]관리자
50 2017-06-16
6495 인터넷나야나 랜섬웨어, 또 다른 웹호스팅 업체 공격 ‘전적’
[레벨:30]관리자
52 2017-06-16
6494 인터넷나야나, 파산 각오하고 해커와 협상한다고?
[레벨:30]관리자
59 2017-06-15
6493 유로폴 공조로 지불카드 사기단 31명 검거 성공
[레벨:30]관리자
61 2017-06-15
6492 어도비 플래시 업데이트 파일 위장 ‘직소’ 랜섬웨어 유포중
[레벨:30]관리자
57 2017-06-15
6491 웹호스팅 업체 리눅스 서버 감염시킨 ‘에레버스 랜섬웨어’ 분석 정보
[레벨:30]관리자
77 2017-06-14
6490 오직 전력망만 노리는 멀웨어, 전 세계 정전 위험
[레벨:30]관리자
73 2017-06-14
6489 CVE-2017-1247 外
[레벨:30]관리자
65 2017-06-14
6488 일본 14세 소년, 랜섬웨어 만들었다가 체포
[레벨:30]관리자
61 2017-06-13
6487 러시아 해커, 카타르통신 해킹해 가짜 뉴스 업데이트…혼란 조장
[레벨:30]관리자
63 2017-06-13
Tag List

서비스 링크

X
Login

브라우저를 닫더라도 로그인이 계속 유지될 수 있습니다. 로그인 유지 기능을 사용할 경우 다음 접속부터는 로그인을 하실 필요가 없습니다. 단, 게임방, 학교 등 공공장소에서 이용 시 개인정보가 유출될 수 있으니 꼭 로그아웃을 해주세요.

아이디가 없으신 분은

회원가입 후 이용하실 수 있습니다.

X