| <colbgcolor=#ef4631><colcolor=#fff> Fancy Bear 팬시베어 | |
| | |
| 러시아 모자로 잘 알려진 우샨카를 쓰고 있다. | |
| 유형 | 해킹 그룹 |
| 활동 시작일 | 2007년(추정)~현재 |
1. 개요
러시아의 해킹 그룹. 주로 국가의 정당들을 공격한다.2. 일으킨 사건 사고들
2.1. 힐러리 클린턴 캠프 이메일 해킹 및 유출
2015년 말, 미국 민주당의 강경한 반러시아 정책을 공약으로 내걸었던 힐러리 클린턴 캠프에 대한 해킹이 이루어졌다. 이는 2016년 미국 대선 이전까지 이루어졌으며, 그 과정에서 수많은 이메일 목록들이 유출되었다.제일 먼저 민주당 전국위원회(DNC)와 민주당 의회 캠페인 위원회(DCCC) 직원들에게 계정에 보안 문제가 발생했다거나 비밀번호 재설정해달라는 피싱 메일을 발송하였다. 이 때 당시 힐러리 클린턴 캠프 의장이였던 존 포데스타의 지메일도 해킹되었다.[1] 이 과정에서 X-Agent 등의 맬웨어를 설치하였다.
이후 DNC 서버에 2016년 4월부터[추정] 침투해 약 4개월 정도 활동하여 19,000건 이상의 이메일과 내부 문서, 전략 자료 등의 민감 정보들을 수집해갔다. 탈취한 파일은 .rar 또는 .zip 형식으로 압축한 후 암호화하였으며, 암호화 키는 C2 서버로 전송하였다. 암호화된 데이터는 Tor 네트워크 등의 방식을 통해 외부로 러시아 호스팅 서버로 전송되었다.
관리자 권한의 경우 DNC 서버에서 Mimikatz(미미카츠)[3]를 활용하여 관리자 계정 해시 추출한 뒤 깨뜨려 획득하였고, 서버 메시지 블록(SMB) 프로토콜을 악용하여 네트워크 내 다른 시스템으로 이동하였다. 크라우드스트라이크는 이 방법으로 최소 29개 이상의 호스트가 감염된 것으로 추정된다고 밝혔다.
2016년 4월에 드디어 DNC가 네트워크 이상을 감지하였으며 즉시 사이버 보안 기업인 크라우드스트라이크에 조사를 의뢰하였다. 같은 해 6월 14일 팬시베어와 코지베어[4]의 침투를 확인하였다. 이유는 다음과 같다.
- 피싱 메일의 이메일 헤더를 분석해 보니 발신 IP가 러시아 및 동유럽 지역 VPN과 연결되어 있었으며 메일에 포함된 링크를 클릭할 시 구글 로그인 페이지(
accounts.google.com)가 아닌accounts.googlemail.com으로 이동됨. 해당 사이트는 피싱 사이트이며 러시아에 서버가 위치하고 페이지 소스 코드에 러시아어 문자열이 포함되어 있음. - 특정 해시 값이 X-Agent 샘플과 일치. 이는 악성 워드 파일(.doc)을 통해 유포되었으며, 마이크로소프트 오피스 취약점[5]도 활용한 것으로 보임. 설치된 후에는 시스템 프로세스로 위장하였으며 타임스탬프가 모스크바 시간대(GMT+3)와 일치. 또한 러시아 내 C2 서버와 통신한 흔적도 보임.
- 또한 GRU 연계 그룹의 전형적인 공격 방식[6]과 일치.
- 멀웨어 컴파일 시 러시아어 키보드 사용 흔적 및 모스크바 근무 시간 동안 활동 집중.
이에 FBI가 조사에 착수하였으며, 오바마 행정부는 러시아와 연계된 것이 아니냐는 의혹을 제기하였다.
2016년 6월 15일, 해당 그룹은 루마니아 해커로 위장한 뒤 'Guccifer 2.0'라는 가명으로 활동하며 DNC에서 탈취한 문서를 워드프레스 블로그와 트위터 계정을 통해 공개하기 시작하였다. 7월 22일에는 위키리크스에 탈취한 DNC 이메일을 모두 공개하였으며, 민주당 내부 갈등에 대한 문서들도 공개하였다.[7]이 때 힐러리를 상대하던 후보 트럼프는 위키리크스를 사랑한다고 발언하여 논란이 되기도 했다.
공개된 DNC 이메일 내역에는 민주당 지도부가 예비 경선에서 힐러리 클린턴을 지원했다는 내용이 담겨 있어, 샌더스 지지자들의 반발을 불러일으켜 당내 분열을 일으키게 되었다. 포데스타의 이메일에서는 월 스트리트와의 유착 관계가 있는 듯한 내용이 담겨 있어 이 또한 논란이 되었다.
인터넷 리서치 에이전시[8]와 연합하여 SNS에서 유출 정보 확산을 가속화하기도 했다.
10월 7일에는 미국 국토안보부(DHS)와 국가정보국(DNI)이 '러시아 정부가 대선 개입 지시했다'고 성명을 발표했으며 다음 해 1월 6일에는 GRIZZLY STEPPE 보고서에서 Fancy Bear를 포함한 GRU의 개입을 공식화하였다. 물론 러시아 정부는 증거 없는 주장이라며 부인했다.
12월 29일, 오바마 대통령이 대선 개입에 대한 보복으로 행정명령 13694호를 발동하였다. 해당행정 명령에는 GRU 및 FSB를 포함한 러시아 기관 제재, 러시아 외교관 35명 추방, 미국 내 러시아 소유 부동산 2곳 폐쇄라는 내용이 담겨 있었다.
2017년 5월 17일 로버트 뮬러가 러시아의 대선 개입 및 트럼프 캠프와의 연계 의혹을 조사하기 위해 특별검사로 임명되었고 GRU 소속 장교 12명[9]을 워싱턴 D.C. 연방지방법원에서 기소했으나 러시아 정부는
다음 해인 2018년 4월에는 DNC가 러시아 정부, GRU, 위키리크스, 트럼프 캠프 등을 상대로 뉴욕 남부지방법원에 민사 소송을 제기하였다. 그러나 2019년 7월 판사 존 코엘틀(John Koeltl)은 러시아 정부가 외국 주권 면책법(FSIA)에 따라 소송 대상이 될 수 없다고 판결하여 소송이 기각되었으며 트럼프 캠프와 위키리크스에 대한 소송도 증거 부족으로 기각되었다.
2.2. 독일 연방의회 네트워크를 침투 및 이메일 탈취
2014년 12월에서 6개월 간 독일 연방의회 네트워크가 해킹되어 의원들의 이메일 및 민감한 데이터들이 탈취되는 일이 일어났다.역시 처음에는 유엔이나 독일 정부를 사칭한 이메일을 보내 악성코드를 합법적인 링크나 첨부파일로 위장한 뒤 유포되었으며 이후 16GB 분량의 데이터가 외부 서버로 전송되었다.
다음 해 5월 8일이 되어서야 의회의 직원이였던 클라우디아 하이트(Claudia Haydt)가 이메일 입력 문제(특수문자 오류)를 보고하면서 이상 징후 감지하였으며, 연방정보보안국(BSI)이 곧바로 조사에 착수하는 것으로 보였으나 관료적 지연(...)으로 7일 후인 5월 15일에야 조사에 착수했다. 이후 시스템 전체를 오프라인 상태로 전환하며 복구 작업 진행하였으며, 앙겔라 메르켈 총리, 요하네스 싱하머 부의장, 기밀위원회 소속 의원(베티나 하게도른 등)의 이메일 및 데이터 유출을 확인하였다.
3. 여담
- 러시아 군사정보국(GRU)와 연관되어 있는 것으로 보인다. 특히 GRU의 제26165부대와 제74455부대가 관련 되어 있다는 증언이 많다.
- 공격의 목적이 주로 다른 국가에서의 스파이 활동 및 정치적 개입에 초점이 맞춰져 있다.
- X-Agent, Zebrocy, VPNFilter 등 맞춤형 악성코드를 제작할 수 있는 능력이 있다.
[1] 정확히 'someone has your password'라는 제목의 이메일을 받았다고 한다.[추정] [3] 메모리에 저장된 비밀번호를 추출하는 프로그램.[4] 팬시베어와 마찬가지로 러시아 해킹 그룹이다.[5] CVE-2015-2545. (2015년에 발견된 2545번째 취약점이라는 뜻.) 문서를 열기만 해도 컴퓨터가 감염될 수 있는 취약점이였다.[6] 스피어피싱 → 백도어 설치 → 데이터 유출[7] Guccifer 2.0이 사용하는 언어 패턴과 러시아 VPN 사용 흔적 등을 보아 가명일 가능성이 매우 크다. 또한 문서 메타데이터에 의도적으로 러시아어 워터마크를 삽입한 흔적도 보였다.[8] 러시아 정부와 연관된 온라인 선전(...) 러시아 회사.[9] 빅토르 네틱쇼(Viktor Netyksho), 보리스 안토노프(Boris Antonov), 드미트리 바딘(Dmitriy Badin) 등