| <colbgcolor=#ef4631><colcolor=#fff> Fancy Bear 팬시베어 | |
| | |
| 러시아 모자로 잘 알려진 우샨카를 쓰고 있다. | |
| 유형 | 해킹 그룹 |
| 활동 시작일 | 2007년(추정)~현재 |
[clearfix]
1. 개요
러시아의 해킹 그룹. 주로 국가의 정당들을 공격한다.2. 일으킨 사건 사고들
2.1. 힐러리 클린턴 캠프 이메일 해킹 및 유출
2015년 말, 미국 민주당의 강경한 반러시아 정책을 공약으로 내걸었던 힐러리 클린턴 캠프에 대한 해킹이 이루어졌다. 이는 2016년 미국 대선 이전까지 이루어졌으며, 그 과정에서 수많은 이메일 목록들이 유출되었다.제일 먼저 민주당 전국위원회(DNC)와 민주당 의회 캠페인 위원회(DCCC) 직원들에게 계정에 보안 문제가 발생했다거나 비밀번호 재설정해달라는 피싱 메일을 발송하였다. 이 때 당시 힐러리 클린턴 캠프 의장이였던 존 포데스타의 지메일도 해킹되었다.[1] 이 과정에서 X-Agent 등의 맬웨어를 설치하였다.
이후 DNC 서버에 2016년 4월부터[추정] 침투해 약 4개월 정도 활동하여 19,000건 이상의 이메일과 내부 문서, 전략 자료 등의 민감 정보들을 수집해갔다. 탈취한 파일은 .rar 또는 .zip 형식으로 압축한 후 암호화하였으며, 암호화 키는 C2 서버로 전송하였다. 암호화된 데이터는 Tor 네트워크 등의 방식을 통해 외부로 러시아 호스팅 서버로 전송되었다.
관리자 권한의 경우 DNC 서버에서 Mimikatz(미미카츠)[3]를 활용하여 관리자 계정 해시 추출한 뒤 깨뜨려 획득하였고, 서버 메시지 블록(SMB) 프로토콜을 악용하여 네트워크 내 다른 시스템으로 이동하였다. 크라우드스트라이크는 이 방법으로 최소 29개 이상의 호스트가 감염된 것으로 추정된다고 밝혔다.
2016년 4월에 드디어 DNC가 네트워크 이상을 감지하였으며 즉시 사이버 보안 기업인 크라우드스트라이크에 조사를 의뢰하였다. 같은 해 6월 14일 팬시베어와 코지베어[4]의 침투를 확인하였다. 사유로는 다음과 같다.
- 피싱 메일의 이메일 헤더를 분석해 보니 발신 IP가 러시아 및 동유럽 지역 VPN과 연결되어 있었으며 메일에 포함된 링크를 클릭할 시 구글 로그인 페이지(
accounts.google.com)가 아닌accounts.googlemail.com으로 이동됨. 해당 사이트는 피싱 사이트이며 러시아에 서버가 위치하고 페이지 소스 코드에 러시아어 문자열이 포함되어 있음. - 특정 해시 값이 X-Agent 샘플과 일치. 이는 악성 워드 파일(.doc)을 통해 유포되었으며, 마이크로소프트 오피스 취약점도 활용한 것으로 보임. 설치된 후에는 시스템 프로세스로 위장하였으며 타임스탬프가 모스크바 시간대(GMT+3)와 일치. 또한 러시아 내 C2 서버와 통신한 흔적도 보임.
- 또한 GRU 연계 그룹의 전형적인 공격 방식[5]과 일치.
- 멀웨어 컴파일 시 러시아어 키보드 사용 흔적 및 모스크바 근무 시간 동안 활동 집중.
이에 FBI가 조사에 착수하였으며, 오바마 행정부는 러시아와 연계된 것이 아니냐는 의혹을 제기하였다.
2016년 6월 15일, 해당 그룹은 루마니아 해커로 위장한 뒤 'Guccifer 2.0'라는 가명으로 활동하며 DNC에서 탈취한 문서를 워드프레스 블로그와 트위터 계정을 통해 공개하기 시작하였다. 7월 22일에는 위키리크스에 탈취한 DNC 이메일을 모두 공개하였으며, 민주당 내부 갈등에 대한 문서들도 공개하였다.[6]이 때 힐러리를 상대하던 후보 트럼프는 위키리크스를 사랑한다고 발언하여 논란이 되기도 했다.
공개된 DNC 이메일 내역에는 민주당 지도부가 예비경선에서 힐러리 클린턴을 지원했다는 내용이 담겨 있어, 샌더스 지지자들의 반발을 불러일으켜 당내 분열을 일으키게 되었다. 포데스타의 이메일에서는 월 스트리트와의 유착 관계가 있는 듯한 내용이 담겨 있어 이 또한 논란이 되었다.
인터넷 리서치 에이전시[7]와 연합하여 SNS에서 유출 정보 확산을 가속화하기도 했다.
10월 7일에는 미국 국토안보부(DHS)와 국가정보국(DNI)이 '러시아 정부가 대선 개입 지시했다'고 공식적으로 성명을 발표했다. 물론 러시아 정부는 증거 없는 주장이라며 부인했다.
3. 여담
- 러시아 군사정보국(GRU)와 연관되어 있는 것으로 보인다. 특히 GRU의 제26165부대와 제74455부대가 관련 되어 있다는 증언이 많다.
- 공격의 목적이 주로 다른 국가에서의 스파이 활동 및 정치적 개입에 초점이 맞춰져 있다.
- X-Agent, Zebrocy, VPNFilter 등 맞춤형 악성코드를 제작할 수 있는 능력이 있다.
[1] 정확히 'someone has your password'라는 제목의 이메일을 받았다고 한다.[추정] [3] 메모리에 저장된 비밀번호를 추출하는 프로그램.[4] 팬시베어와 마찬가지로 러시아 해킹 그룹이다.[5] 스피어피싱 → 백도어 설치 → 데이터 유출[6] Guccifer 2.0이 사용하는 언어 패턴과 러시아 VPN 사용 흔적 등을 보아 가명일 가능성이 매우 크다. 또한 문서 메타데이터에 의도적으로 러시아어 워터마크를 삽입한 흔적도 보였다.[7] 러시아 정부와 연관된 온라인 선전(...) 러시아 회사.