러시아 정부 해커가 Signal 및 WhatsApp 사용자를 표적으로 삼고 있다, 네덜란드 스파이들이 경고

Source: TechCrunch

개요

네덜란드 정보기관에 따르면, 러시아 정부 해커들이 전 세계의 정부·군 관계자와 언론인을 주요 표적으로 Signal과 WhatsApp 사용자를 공격하고 있다고 월요일에 밝혔습니다.

네덜란드 방위정보보안청(MIVD)과 일반정보보안청(AIVD)은 대규모 글로벌 해킹 캠페인 경고문을 발표했습니다. 두 기관은 “러시아 국가 행위자”가 악성코드가 아닌 피싱 및 사회공학 기법을 이용해 두 메신저 앱의 계정을 탈취하고 있다고 주장합니다.

전체 경고문 보기.

Signal

• 해커가 Signal 지원팀을 사칭해 대상에게 의심스러운 활동, 데이터 유출 가능성, 개인 데이터 접근 시도 등에 대한 경고 메시지를 보냅니다.
• 피해자는 SMS로 전송된 인증 코드를 제공하도록 요구받으며(해커가 Signal에 요청), 대상의 PIN 코드도 요구됩니다.
• 인증 코드와 PIN을 이용해 공격자는 새로운 전화번호로 새 기기를 등록하고, 대상으로 가장해 연락처에 접근할 수 있습니다. 원래 기기는 잠길 수 있지만, 피해자는 번호를 다시 등록할 수 있습니다.

“Signal은 채팅 기록을 전화기에 로컬로 저장하기 때문에, 피해자는 재등록 후에도 해당 기록에 다시 접근할 수 있습니다. 따라서 피해자는 문제가 없다고 착각할 수 있습니다. 이 가정은 잘못될 수 있습니다.” – 네덜란드 기관 보고서

Signal은 앱을 통한 직접 지원을 제공하지 않으며, 새 기기를 추가한다고 해서 이전 메시지에 접근할 수 있는 것은 아닙니다.

이미지: 해커가 보낸 악성 Signal 메시지 예시(이러한 메시지와 계정 탈취 방법을 가장 흔히 보여줌). – 이미지 출처: 네덜란드 일반정보보안청

추가 전술로는 대상에게 악성 QR 코드를 스캔하게 하거나 악성 링크를 클릭하게 하여 공격자의 기기를 피해자의 계정에 연결하도록 유도하는 것이 있습니다.

WhatsApp

• 해커가 “연결된 기기” 기능을 악용합니다. 이 기능은 사용자가 보조 기기(노트북, 태블릿 등)에서 WhatsApp에 접근할 수 있게 해줍니다.
• 성공하면 과거 메시지를 읽을 수 있으며, 사용자는 로그아웃되지 않기 때문에 무단 접근을 눈치채지 못할 수 있습니다.

WhatsApp은 사용자가 절대 6자리 인증 코드를 누구와도 공유하지 말 것을 권고합니다.

반응

• Signal은 논평 요청에 응답하지 않았습니다.
• Meta는 해킹 캠페인에 대해 논평을 거부했습니다.
• 네덜란드 내무부와 국방부는 추가 정보 요청에 응답하지 않았습니다.
• 워싱턴 D.C.에 있는 러시아 대사관도 논평 요청에 응답하지 않았습니다.

배경

네덜란드 정보기관이 강조한 일부 기법은 우크라이나 전쟁 맥락에서 러시아 정부 해커들이 사용해 온 것으로 알려져 있습니다.

Signal Messenger에 대한 러시아 표적 공격 추가 정보