최근 카스퍼스키(Kaspersky) 보안 업체의 네트워크 침입을 통해 지적 재산을 탈취하려는 Duqu 2.0 사이버 첩보 활동을 탐지한 상세한 정보를 공개하여 충격을 주고 있습니다.
Duqu 악성코드는 2011년 하반기에 최초 발견된 국가 차원의 후원을 받아 특정 표적(기업, 국가)에 대한 APT(Advanced Persistent Threat) 공격을 시도하는 사이버 첩보 활동으로, 다양한 제로데이(0-Day) 취약점을 활용하고 있으며 특히 스턱스넷(Stuxnet) 계열과 연관된 것으로 알려져 있기에 이스라엘(Israel)에서 운영되는 것으로 예상됩니다.
공개된 정보에 따르면 2015년 초 Kaspersky 보안 업체에서는 자사의 내부 네트워크 시스템 일부에 영향을 미치는 사이버 침입 행위를 현재 개발 중인 Anti-APT 솔루션 알파(Alpha) 버전을 통해 탐지하였습니다.
이를 통해 팀(Team)을 구성하여 대규모 조사를 현재까지 진행 중에 있으며 기존의 Duqu 악성코드 제작 APT 그룹이 새로운 악성코드(Duqu 2.0)를 사용하여 Kaspersky 보안 업체를 표적으로 한 공격이 있었음을 알게 되었습니다.
이번 사이버 공격에서는 Windows Kernel 제로데이(0-Day) 보안 취약점(CVE-2015-2360 : Win32k 권한 상승 취약성) 및 2종의 또 다른 제로데이(0-Day) 보안 취약점을 활용하였으며, Kaspersky 보안 업체는 관련 정보를 마이크로소프트(Microsoft) 업체에 보고하여 2015년 6월 정기 보안 업데이트를 통해 보안 패치(MS15-061)가 이루어진 상태입니다.
확인된 Duqu 2.0 악성코드는 자신의 존재가 확인되어 진단되는 부분을 감추기 위해 짧은 기간 동안에만 커널(Kernel) 메모리(RAM)에 인젝션되어 정보를 탈취하는 방식(※ 일명 Fileless 악성코드)을 이용하였으며 이로 인하여 하드 디스크에서는 어떠한 파일도 발견되지 않도록 삭제를 하였습니다.
Kaspersky 보안 업체의 분석에 따르면 Duqu 2.0 악성코드의 주된 목표는 Secure Operating System, Kaspersky Fraud Prevention, Kaspersky Security Network(KSN), Anti-APT 솔루션, 진단 방식, 분석 능력과 같은 Kaspersky Lab 기술, 현재 진행 중인 연구와 내부 프로세스에 대한 정보 수집이 목적이며, 고객과 연관된 제품 및 서비스에는 영향을 주지 못했다고 밝히고 있습니다.
Duqu 2.0 운영 그룹은 아우슈비츠 해방 70주년 행사(the 70th anniversary event of the liberation of Auschwitz)와 이란 핵 프로그램 내부 협상(P5+1) 참가자에 대한 정보 수집과 같은 특정 표적에 대한 사이버 첩보 활동을 위해 다양한 국가를 대상으로 공격을 수행하고 있습니다.
현재 Duqu 2.0 악성코드에 대해 Kaspersky 보안 제품에서는 HEUR:Trojan.Win32.Duqu2.gen 진단명으로 진단이 이루어지고 있으며, 이번 APT 공격에 대해 세계 최고 수준의 기술을 보유한 Kaspersky 보안 업체의 효과적으로 탐지 및 제거, 투명한 정보 공개, 자사의 Anti-APT 솔루션에 대한 홍보 효과를 누리는 것으로 보입니다.
이처럼 국가 후원을 받는 사이버 첩보 조직 또는 정체가 여전히 밝혀지지 않는 다양한 해킹 조직이 보안 업체까지 은밀하고 정교하게 사이버 공격을 할 수 있다는 현실을 보여주고 있습니다.