사이버 보안 전문 매체 블리핑컴퓨터가 우크라이나 기관을 겨냥한 사이버 공격 발견 소식을 보도했다.
사이버 보안 연구 기관 이셋(ESET)은 우크라이나 기관을 겨냥한 멀웨어 ‘캐디와이퍼(CaddyWiper)’가 보안 수준이 취약한 시스템을 삭제한 사례를 발견했다.
캐디와이퍼는 DsRoleGetPrimaryDomainInformation() 함수를 사용해 공격하고자 하는 기기가 도메인 컨트롤러인지 확인한다. 도메인 컨트롤러임을 확인한 기기의 데이터는 삭제하지 않는다. 이는 사이버 공격 세력이 공격하고자 하는 기관의 네트워크 접근 권한을 유지하고, 다른 중요한 기기 데이터를 제거하면서 심각한 피해를 유발하려는 전략으로 추정된다.
이셋 연구팀은 어느 한 우크라이나 기관의 네트워크에서 발견한 캐디와이퍼의 PE 헤더 샘플을 분석한 뒤, 캐디와이퍼 압축 당일 바로 공격을 개시한다고 결론을 내렸다.
캐디와이퍼는 올해 우크라이나에 널리 배포된 네 번째 멀웨어이다. 마이크로소프트는 1월 중순, 우크라이나에서 데이터 삭제 공격을 개시한 멀웨어인 위스퍼게이트(WhisperGate)를 발견했다. 마이크로소프트 회장 브래드 스미스(Brad Smith)는 위스퍼게이트가 정교한 피해 대상 지정 후 공격을 개시했다고 밝혔다.
앞서, 러시아가 우크라이나를 침략하기 전날인 2월 23일, 이셋 연구팀은 에르메틱와이퍼(HermeticWiper)라는 멀웨어를 발견했다. 에르메틱와이퍼는 랜섬웨어 공격과 함께 우크라이나를 겨냥해 데이터 삭제 공격을 개시하는 멀웨어이다. 하루 뒤인 2월 24일, 연구팀은 또 다른 데이터 삭제 멀웨어인 이삭와이퍼(IsaacWiper)를 발견했다.
이셋은 지금까지 우크라이나 일부 기관의 시스템 수십 곳에서 같은 피해가 발생한 사실을 확인했다.
이셋 관계자는 “캐디와이퍼는 에르메틱와이퍼나 이삭와이퍼를 포함해 지금까지 알려진 멀웨어와 코드 유사성이 없다. 이셋 연구팀이 분석한 샘플은 디지털 서명이 없다. 다만, 캐디와이퍼는 GPO를 통해 배포된다는 점에서 에르메틱와이퍼와 비슷하다는 것을 확인했다. 이는 해커 세력이 과거 피해 기관의 네트워크를 먼저 제어했을 가능성을 시사한다”라고 설명했다.
한편, 매체는 캐디와이퍼가 과거 러시아가 우크라이나 등 여러 국가에 무차별적인 공격으로 치명적인 피해를 일으킨 멀웨어인 낫펫트야(NotPetya)와는 전혀 다르다고 언급했다. 또한, 이번 공격은 러시아가 우크라이나를 침략한 뒤 양국 간 이어지는 대규모 사이버 전쟁 공격 중 하나라고 전했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
