이스라엘 사이버 보안 회사 시그니아(Sygnia)의 연구원들은 최소 4년 동안의 해킹 공격으로 금융 조직에서 수백만 달러를 훔치고 있는 사이버 범죄조직에 대해 경고했다.
'코끼리 딱정벌레'(Elephant Beetle)라고 불리는 이 해커들은 주로 라틴 아메리카의 금융 조직을 집중적으로 공격하고 있지만, 세계 다른 지역을 표적으로 삼을 수도 있다고 연구원들은 경고했다.
공격의 진입점은 리눅스(Linux) 기반 시스템 및 웹 서버에서 실행되는 레거시 자바(Java) 애플리케이션에 중점을 둔다. 이 공격은 난독화된 웹 셸을 지원하는 원격 코드 실행 또는 대상 시스템에서 서로 다른 명령을 실행한다. 이들은 약 80개 이상의 고유한 도구 및 스크립트를 사용하여 탐지되지 않은 채로 공격을 실시하고 추가 보안 결함을 식별한다.
코끼리 딱정벌레는 또한 의심스러워 보이지 않는 소규모 거래를 고수하지만, 사실상 피해자는 수백만 달러를 도난당할 수 있다. 거래 시도가 감지되고 차단되면 공격자는 몇 달 동안 네트워크에 숨어있다가 안전해졌다고 느끼면 다시 활동을 재개한다.
시그니아의 사고 대응 부사장인 알리 질버스테인(Arie Zilberstein)은 "코끼리 딱정벌레는 고도로 조직화된 특성과 피해자의 내부 금융 시스템 및 운영을 지능적으로 학습하는 은밀한 패턴으로 인해 심각한 위협으로 작용한다"고 말했다.
또한 "코끼리 딱정벌레는 손상된 조직의 인프라에 깊숙이 박혀있어 언제든지 재활성화하고 계속 자금을 훔칠 수 있다는 것도 연구를 통해 발견했다"라고 덧붙였다.
그렇다면, 코끼리 딱정벌레의 공격을 피하기 위한 조치가 있을까? 연구팀은 공격자가 네트워크에서 발판을 확보하기 위해 취약점을 악용하지 못하도록 패치와 보안 업데이트를 적용하라고 조언한다. 레거시 애플리케이션을 패치할 수 없는 경우 가능한 나머지 네트워크에서 격리해야 한다고도 말했다.
질버스테인은 "많은 경우에 레거시 시스템이 정기적인 탐지 및 대응 절차에서 누락되는 경우가 많았지만 이러한 시스템은 금융 기관의 네트워크에 해커들의 진입 지점 역할을 할 수 있으므로, 각별한 주의를 기울여야 한다”면서 “특히 유사한 성격의 공격을 방지하고 탐지하기 위해 패치 및 지속적인 사냥을 수행해야 한다"고 말했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
