[김국배기자] 홍콩에서 친민주주의 성향 미디어를 대상으로 한 사이버 공격이 일어났다. '기사거리'가 담긴 '스피어 피싱(Spear phishing)' 이메일로 기자들을 유인했다. 스피어 피싱이란 표적형 악성 메일을 말한다.
미국 사이버보안업체 파이어아이는 지난 2013년부터 추적해온 중국 기반 사이버범죄 조직 'admin@338'이 최근 홍콩 미디어 기업을 대상으로 이같은 사이버 공격을 감행한 사실을 파악했다고 13일 밝혔다.
파이어아이에 따르면 이 조직은 지난 8월 신문사, 라디오 및 TV 방송국 등 홍콩 미디어 기업을 대상으로 뉴스 제보를 명목으로 악성파일을 첨부한 이메일을 전송했다.
이메일에는 홍콩의 2014년 민주화 시위 '우산 혁명'의 기념일에 맞춰 창립하는 기독교 시민 사회 단체에 관한 내용이나 홍콩 대학교 부총장 총선거에서 친중국파 부총장 선출에 대한 우려로 투표를 꺼리는 해당 학교의 동창회에 관한 내용 등에 대한 언급이 담겼다.
공격 과정에서 명령 및 제어(CnC) 통신을 위해 클라우드 스토리지 서비스인 드롭박스(Dropbox)가 악용하는 로우볼(LOWBALL)이라는 악성코드를 썼다.
조사 과정에서 파이어아이 연구진은 드롭박스에 이 조직의 해킹 활동에 대해 경고를 보냈으며 드롭박스는 즉시 로우볼이 사용하는 접근 토큰(access token)을 차단했다. 이를 통해 드롭박스는 해당 조직이 이용한 악성코드에서 CnC 통신을 차단할 수 있었다.
파이어아이는 "다수의 중국 사이버 범죄 조직이 아시아 지역의 미디어 기업들을 대상으로 감행한 공격들에 대해 예의 주시해왔다"며 "이러한 공격들은 주로 홍콩 기반의 미디어, 특히 친민주주의 내용을 보도하는 언론에 중점을 두고 있으며 대만, 동남 아시아 및 이 지역의 다른 국가에 위치한 기자들도 역시 공격의 대상이 됐다"고 설명했다.
파이어아이의 아태지역 수석 기술 전문가인 브라이스 볼랜드(Bryce Boland)는 "아시아 지역의 기자들은 기사를 위한 정보를 여러 소스에서 가져오기 때문에 사이버 범죄자들에게 손쉬운 타깃이 된다"며 "이들이 보유한 정보와 취재원은 사이버 범죄자들에게 매력적인 정보"라고 전했다.
admin@338에 대한 보다 자세한 정보는 파이어아이 공식 블로그(https://www.fireeye.com/blog/threat-research/2015/11/china-based-threat.html)에서 확인할 수 있다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기