지난 몇 년간 가자 지구와 요르단강 서안 지구의 해킹 활동이 급격히 증가했다. 경쟁 관계에 있는 팔레스타인의 여러 정당이 서로 다투고, 이스라엘과 팔레스타인이 계속 대립하자 팔레스타인 해커 집단이 갈수록 세계 무대에서 입지를 세우고 있다. 이제 페이스북이 2019년과 2020년, iOS를 겨냥한 독특한 스파이웨어 설치를 포함해 각종 기기와 플랫폼을 악용해, 팔레스타인 조직이 배후에서 개시한 두 차례의 디지털 스파이 활동을 공개했다.
서로 관련이 없는 것으로 확인된 해커 집단은 의도치 않게 상반된 목적으로 지녔다. 그러나 두 집단 모두 페이스북과 같은 SNS 플랫폼을 이용해 공격 대상에 접근하고, 소셜 엔지니어링 공격을 개시하기 시작해 피해자가 피싱 페이지와 각종 악성 웹사이트에 접촉하도록 했다.
보안 연구원은 한 가지 공격을 개시한 세력이 서안지구의 집권 여당인 파타(Fatah) 산하 정보 집단인 팔레스타인의 예방 보호 서비스(Preventive Security Service)와의 연관성을 제기했다. 해당 공격에서 예방 보호 서비스 산하 해커 조직은 팔레스타인 테러 집단과 시리아를 겨냥했으며, 그리고 일부 추가 공격 활동에서 터키와 이라크, 레바논, 리비아 등도 공격 대상으로 삼았다. 해커 조직은 주로 인권 운동가와 파타 반대 운동가, 언론인, 이라크 군대와 시리아 야당 등을 공격했다.
오랫동안 사이버 공격을 개시해온 것으로 알려진 또 다른 해커 조직인 아리드 바이퍼(Arid Viper)는 하마스와 관련이 있으며, 파타 소속 정치인과 정부 관료, 보안 기관, 학생 등을 겨냥하며 팔레스타인 내부에서의 공격에 집중했다. 아리드 바이퍼는 사이버 공격을 개시하고자 피싱 공격을 하고 iOS 및 안드로이드 멀웨어 설치를 하는 수백 개의 웹사이트나 멀웨어 명령 및 제어 서버 기능 등 비싼 공격 기반 시설을 설치했다.
[사진=Freepik]
페이스북 사이버 스파이 행위 조사 총괄인 마이크 드비랸스키(Mike Dvilyanski)와 위협 파괴 총괄 데이비드 아그라노비치(David Agranovich)는 블로그에 “팔레스타인 해커 조직이 개시한 두 가지 사이버 공격 작전을 모두 파괴하기 위해 해커의 계정을 비활성화하고 멀웨어 해시를 배포한 뒤, 해킹 활동과 관련된 도메인을 차단했다. 그리고 공격 대상이 된 것으로 추정되는 사용자에게 경고하고 계정 보안을 유지하도록 도왔다. 바이러스 방지 업계를 포함한 업계 협력사와 관련 정보를 공유해, 팔레스타인 해커 조직의 활동을 감지하고 중단하도록 했다”라고 게재했다.
예방 보호 서비스와 관련된 해커 조직은 SNS에서 활발하게 활동하면서 가짜 계정과 탈취된 계정을 모두 활용해, 주로 젊은 여성인 척하는 가짜 신원을 생성했다. 일부 계정은 하마스나 파타 혹은 다른 군사 집단 지지 세력인 척했으며, 간혹 공격 대상과의 관계를 형성한다는 목표를 지닌 사회운동가나 기자를 사칭하고는 공격 대상을 속여 멀웨어를 다운로드하도록 했다.
해커 조직은 기존 멀웨어와 자체 안드로이드 스파이웨어를 모두 악용해, 이를 보안 채팅 앱으로 위장하고 피해자를 공격했다. 채팅 앱은 통화 기록과 위치, 연락처 정보, SMS 메시지, 기기 메타데이터를 수집했다. 또한, 간혹 키로거도 수집 정보에 포함됐다. 해커 조직은 공개적으로 사용할 수 있는 안드로이드와 윈도용 멀웨어를 이용하기도 했다. 또, 많은 보안 연구원은 해커 조직이 기사 송출을 원하는 언론인을 겨냥한 윈도용 가짜 콘텐츠 관리 플랫폼을 생성했다는 증거도 발견했다. 해당 앱은 실제로 작동하지 않았지만, 윈도 멀웨어와 함께 작동했다.
아리드 바이퍼도 위의 해커 조직과 비슷하게 안드로이드 및 윈도용 멀웨어와 함께 소셜 엔지니어링과 피싱 전략을 이용했다. 그러나 아리드 바이퍼는 자체적으로 제작한 iOS 멀웨어인 ‘페나카이트(Phenakite)’도 개발했다. 페나카이트는 피해자를 대상으로 깊은 감시 활동을 개시한다. 해커 조직은 피해자를 속여 페나카이트를 배포하는 서드파티 앱스토어나 다른 사이트에 방문하도록 해, 모바일 구성 프로필을 받아들이고 설치하도록 한다. 이는 기업과 같은 조직이 모든 기기를 표준화하고 관리하도록 하는 애플의 메커니즘이다. 이 단계에서부터 피해자는 제대로 작동하는 iOS 채팅 앱인 ‘매직 스마일(Magic Smile)’을 설치한다. 물론, 매직 스마일에 페나카이트가 숨겨져 있다. 설치 후, 페나카이트는 시스템 접근 권한을 높이기 위해 대중적으로 사용할 수 있는 탈옥 수단을 써, 원격으로 기기 탈옥을 한다.
연구원은 페나카이트 배포가 고도로 대상을 겨냥했으며, 수십 명 이상에게는 피해를 주지 않았을 가능성을 발견했다. 서비스가 반복하여 매직 스마일을 제거할 때, 아리드 바이퍼는 자체 웹사이트로 앱 호스팅을 변경하고는 피해자를 자체 웹사이트로 유도한다. 연구원은 아리드 바이퍼가 페나카이트를 개발한 이유가 공격 대상 상당수가 아이폰을 사용하기 때문이라는 점에 주목한다.
페나카이트는 피해자를 속여 멀웨어를 설치하도록 하는 가장 쉬운 방법이다. 그러나 페나카이트 개발 사실이 반영하는 바는 미국과 중국, 러시아 외 해킹 수법이 고도화된 주요 국가 이외 다른 곳에서도 최근 몇 년간 해킹 실험과 수법 혁신이 더 활발하게 이루어진다는 광범위한 추세를 반영한다. 또, 표적이 된 iOS 공격이 갈수록 보편화되는 상황에서 해커가 단순히 무언가를 배치하고 최대한 악용할 위험성(다시 말해, 최악의 상황이 발생할 위험성)이 낮아진다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202104/3088_4099_114.jpg)
뉴스레터 신청