HAURI

전체메뉴 열기

Boan News

보안뉴스 매체사 기사

보안매체 기사

쿠르드족과 ISIS 지지자 노린 이란의 대규모 정찰 캠페인
등록일 :
2018.09.12
이란 정부를 돕는 것처럼 보이는 사이버 공격...2016년부터 시작된 듯

[보안뉴스 문가용 기자] 이란인, 쿠르드족, 터키인을 목표로 하고 있는 대규모 사이버 캠페인이 발견됐다. 뿐만 아니라 ISIS를 지지하는 자들을 겨냥하고 있기도 하다. 이 캠페인의 공격자들은 2016년부터 스파이웨어를 퍼트리면서 공격을 실행했다.

[이미지 = iclickart]


이 공격 혹은 공격자를 보안 업체 체크포인트(Check Point)는 도메스틱 키튼(Domestic Kitten)이라고 부르고 있다. 체크포인트 9월 7일자 블로그 포스트를 통해 이들이 “꽤나 긴 시간 들키지 않고 스파이 활동을 실시할 수 있었던 건 교묘한 기만술 때문”이라고 설명했다.

도메스틱 키튼이라는 이름은 나름 족보적인 배경을 가지고 있다. 이란 출신인 것으로 의심받고 있는 APT 공격 그룹 혹은 공격 행위에는 ‘키튼’이라는 단어가 잘 붙기 때문이다. 또한 이번에 드러난 캠페인이 이란 정부를 돕는 것처럼 보이기 때문에 ‘국내’라는 뜻의 도메스틱이라는 단어가 추가됐다.

도메스틱 키튼이 사용하는 스파이웨어는 가짜 안드로이드 모바일 애플리케이션들의 모양으로 퍼지고 있다. 공격자들은 가짜 콘텐츠를 사용해 피해자들을 유혹해 이 가짜 앱들을 다운로드 받도록 만든다고 체크포인트는 설명한다.

이 스파이웨어는 설치가 된 후 광범위한 민감 정보를 훔쳐내는데, 여기에는 연락처 목록, 통화 기록, 문자 메시지, 브라우저 히스토리, 즐겨찾기, 위치 정보, 사진, 배경 소음을 녹음한 정보 등이 포함되어 있다.

그리고 이런 정보들은 HTTP POST 요청의 형태로 C&C 서버로 전송된다고 체크포인트는 설명을 마쳤다.

이 공격의 피해자들 중에는 이란 국민들도 포함되어 있지만 체크포인트는 공격의 배후에는 이란 정부 기관이 있는 것으로 보고 있다. 가장 유력한 의심을 받는 곳은 이슬람 혁명 방위군(IRGC), 첩보 기관, 내무부 등이다. 공격의 피해자들이 이 세 기관의 주요 감시 대상이기 때문이다.

3줄 요약
1. 2016년부터 활동해온 사이버 스파이 행위, 최근 발견됨.
2. 배후에는 이란이 있는 것으로 보임. 특히 IRGC, 첩보 기관, 내무부가 의심받고 있음.
3. 스파이웨어는 가짜 안드로이드 애플리케이션 형태로 퍼지고 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  • - 본 정보에 대한 저작권은 '보안뉴스'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • - 본 정보에 대한 이용문의는 "보안뉴스(www.boannews.com)"로 문의하여 주십시오.

Top