러시아인, 새로운 고급 iPhone 해킹 도구로 우크라이나인들의 개인 데이터를 탈취한 혐의 적발

Source: TechCrunch

Overview

사이버 보안 연구원에 따르면, 러시아 정부와 일부라도 연계된 것으로 의심되는 해커 그룹이 새로운 해킹 도구 세트를 사용해 우크라이나의 아이폰 사용자들을 목표로 개인 데이터와 잠재적인 암호화폐를 탈취하려 했습니다.

Source: …

도구 및 캠페인

Google, iVerify, 그리고 Lookout의 연구원들은 UNC6353으로만 식별되는 그룹이 우크라이나인을 대상으로 새로 시작한 사이버 공격을 분석했습니다. 손상된 웹사이트를 조사한 결과, 이번 달 초에 밝혀진 이전 캠페인을 기반으로 하는 새로운 캠페인이 드러났으며, 가장 최근의 캠페인에서는 기업들이 Darksword라고 명명한 해킹 툴킷이 사용되었습니다.

유사한 툴킷이 이전에 발견된 뒤 Darksword가 발견된 것은, iPhone용 고급·스텔스·강력한 스파이웨어가 이전에 생각했던 것보다 더 흔할 수 있음을 시사합니다. 그러나 Darksword는 우크라이나 사용자만을 표적으로 삼은 것으로 관찰되어, 전 세계적인 대규모 캠페인보다는 제한된 범위임을 나타냅니다.

3월 초, Google은 Coruna라는 정교한 iPhone 해킹 툴킷에 대한 세부 정보를 공개했습니다. 검색 거대 기업은 이 도구가 처음에는 감시 기술 공급업체의 정부 고객에 의해 사용되었고, 이후 러시아 스파이들이 우크라이나인을 표적으로 삼았으며, 나중에는 암호화폐를 탈취하려는 중국 사이버 범죄자들에 의해 사용되었다고 밝혔습니다. TechCrunch는 이 툴킷이 미국 방위 계약업체 L3Harris의 해킹·감시 기술 부서 Trenchant에서 원래 개발되었다고 보도했습니다.

전 L3Harris 직원들의 말에 따르면, Coruna는 서방 정부, 특히 Five Eyes 정보 동맹(호주, 캐나다, 뉴질랜드, 미국, 영국) 회원국을 위해 설계된 것이었습니다.

연구원들은 이제 다른 취약점을 이용하는 최신 도구들을 사용한 연관 캠페인을 발견했다고 밝혔습니다.

Darksword Capabilities

• Data theft – 비밀번호, 사진, WhatsApp, Telegram 및 문자 메시지, 그리고 브라우저 기록.
• Quick‑kill operation – 지속적인 감시를 위해 설계된 것이 아니라; 장치를 감염시키고 데이터를 탈취한 뒤 사라집니다.
• Cryptocurrency theft – 인기 있는 지갑 앱에서 자금을 탈취할 수 있으며, 이는 의심되는 정부 연계 그룹에게는 드문 기능입니다.

Lookout은 Darksword의 “장치에 머무는 시간은 발견하고 탈취하는 데이터 양에 따라 몇 분 정도일 가능성이 있다”고 언급했습니다.

iVerify 공동 설립자인 Rocky Cole에 따르면, 가장 가능성이 높은 동기는 “스매시 앤 그랩” 작전으로, 지속적인 감시 없이 피해자의 생활 패턴을 파악하려는 것입니다. Cole은 이를 “스매시 앤 그랩 작전”이라고 설명했습니다 (TechCrunch).

귀속 및 동기

• 모든 징후가 러시아 정부를 가리키고 있다, 콜에 따르면.

• Lookout는 우크라이나인들을 상대로 Coruna를 사용한 동일한 그룹을 Darksword 뒤의 행위자로 식별했으며, 이를 러시아 정부와 연계된 것으로 의심되는 위협이라고 설명했다.

• Lookout 수석 보안 연구원 Justin Albrecht는 다음과 같이 말했다:

  “UNC6353은 재정적 이익과 스파이 활동을 위해 러시아 정보기관의 요구에 부합하는 공격을 수행하는, 자금이 풍부하고 연결된 위협 행위자이다. 우리는 재정 절도와 정보 수집이라는 이중 목표를 고려할 때, UNC6353이 잠재적으로 러시아 범죄 대리인일 가능성이 있다고 주장할 수 있다.”

암호화폐 절도 기능의 포함은 재정적 동기를 나타내거나 모바일 기기를 대상으로 하는 재정 절도로 확장되는 러시아 연계 활동을 의미할 수 있다. 그러나 콜은 해당 그룹이 실제로 암호화폐 절도를 시도했다는 증거는 없으며, 단지 그 능력이 존재할 뿐이라고 지적했다.

피해자 타깃팅

Darksword는 우크라이나 내에서 특정 우크라이나 웹사이트를 방문한 모든 사람을 감염시키도록 설계되었습니다. 감염 경로는 고도로 타깃팅되지 않았으며, 오히려 우크라이나에 위치한 사용자가 손상된 사이트에 접근하는 데 의존했습니다.