방글라데시 중앙은행 해킹 주범으로 지목되는 라자루스(Lazarus)가 한반도 평화 분위기에도 아랑곳하지 않고 금전적인 목적의 해킹을 지속하고 있는 것으로 나타났다. 카스퍼스키랩의 2분기 사이버 공격 동향 분석 보고서에 따르면 라자루스 혹은 블루노로프(BlueNoroff) 조직이 남미의 카지노와 터키 금융기관을 해킹한 것으로 알려진다. 라자루스는 북한이 배후에 있을 것으로 추정되는 그룹이며, 블루노로프는 라자루스의 하위조직 혹은 깊이 연관된 조직인 것으로 의심된다.
더불어 북한 정부가 배후에 있을 것으로 의심되는 스카크러프트(Scarcruft)의 활동 역시 활발하게 진행되고 있다. 이 조직은 이 조직은 안드로이드 악성코드를 사용하고 연구원들이 POORWEB이라 명명한 새로운 백도어 공격을 전개했다.
올해 초 평창동계올림픽을 공격한 올림픽 파괴자(Olympic Destroyer)는 러시아의 금융 기관과 유럽·우크라이나의 생화학 위협 방지 연구소를 공격하는 등 활동을 이어가고 있다. 카스퍼스키랩은 이들이 러시아어 기반 조직 소파시(Sofacy)와 연관돼 있을 것으로 추정하고 이다.
소파시는 소규모 기업 등에서 사용하는 네트워크 장비를 대규모 감염시킨 ‘VPN필터’ 공격을 일으킨 것으로 의심되는 조직이기도 하다. 시스코 탈로스가 찾아낸 VPN필터 공격을 FBI가 분석한 결과, 소파시 또는 샌드웜(Sandworm)이라는 조직의 소행인 것으로 의심된다.
VPN필터는 트래픽에 악성 코드를 삽입해 네트워킹 장치 너머의 컴퓨터까지 감염시킬 수 있으며, 네트워크 장비와 스토리지가 매우 취약하다는 사실을 보여주었다. 카스퍼스키랩의 분석 결과, VPN필터에 감염된 장비는 전 세계 대부분의 국가에서 확인됐다.
중국어 기반 조직 럭키마우스(LuckyMouse)는 APT27로도 불리는데, 아시아 지역 ISP를 이용해 유명 웹 사이트를 통해 워터홀 공격을 가한 것이 관측된 바 있다. 이번엔 카자흐스탄과 몽골 정부 관계자들이 중국에서 회의를 열 시기에 이들을 노렸다는 사실이 발견됐다.
한편 2분기에 카스퍼스키랩의 연구원들은 APT 조직의 새로운 도구와 기술, 공격을 잇따라 발견했으며, 그 중에는 수 년간 활동이 없던 조직도 있었다. 아시아는 APT 조직의 관심이 집중된 지역이었고, 러시아어 기반의 튤라(Turla)가 중앙 아시아와 중동을 노리고 사용한 나이트뉴론(LightNeuron)이라는 것도 발견됐다.
이창훈 카스퍼스키랩코리아 지사장은 “2분기는 APT 활동 측면에서 매우 흥미로운 시기로, 지난 몇 년간 카스퍼스키랩이 예측했던 위협 요소가 얼마나 현실화 됐는지 확인해주는 공격이 있었다. 특히 네트워크 장비가 표적 공격을 받기 매우 쉬우며 이런 장치를 집중적으로 노린 수준 높은 공격의 가능성을 카스퍼스키랩은 지속적으로 경고해왔다”고 말했다.
