마이크로소프트가 소르검(Sourgum)이라는 그룹이 개발, 판매하는 윈도10 제로데이 취약점을 공격하는 악성코드인 데블스텅(DevilsTongue) 대책을 마련했다고 발표했다. 데빌스텅 피해자는 정치인과 인권 활동가 등 100명 이상으로 마이크로소프트와 토론토대학 보안 연구단체, 연구소는 데블스텅 정체는 이스라엘 민간 보안 기업이라고 지적하고 있다.
마이크로소프트에 따르면 문제가 된 공격은 윈도 제로데이 취약점(CVE-2021-31979, CVE-2021-33771)을 데빌스텅이라고 부르는 악성코드에 목적한 공격자가 원격으로 권한을 얻고 커널 코드를 실행할 수 있도록 하는 것이다.
데블스텅은 C와 C++ 언어로 기술된 복잡한 모듈형 멀티스레드 악성코드로 파일 수집과 명령 실행, 크롬 또는 파이어폭스 같은 브라우저에서 자격 증명, 암호화, 메시징 응용 프로그램인 시그널에서 대화 차단 등을 실시한다. 또 악의적 링크를 만들고 피해자 PC에 전송해 증식한다. 또 마이크로소프트에 따르면 최신 버전 윈도10으로 업데이트한 뒤 마이크로소프트 디펜더 포 엔드포인트(Microsoft Defender for Endpoint)에서 악용된 취약점 서명된 드라이버 차단을 이용해 데블스텅을 사용하는 드라이버를 차단한다.
마이크로소프트 조사에 따르면 팔레스타인과 이스라엘, 이란, 레바논, 예멘, 스페인, 영국, 터키, 아르메니아, 싱가포르 등 적어도 100명이 데블스텅 피해를 받고 있다는 것. 피해자는 인권 운동가와 반체제 인사, 언론인, 대사관 직원, 정치인 등이었다고 한다. 마이크로소프트는 데블스텅을 개발, 배포한 그룹은 소르검이라는 코드명으로 부르는 민간 공격 행위자 PSOA라고 지적하고 있다.
마이크로소프트와 공동으로 데블스텅을 분석한 시민 연구소는 이스라엘 텔아비브에 본사를 둔 칸디루(Candiru)라는 기업이 소르검 정체라고 단언하고 있다. 칸디루는 2014년 설립 후 4∼5차례 이름을 바꾸면서 계속 활동 중이며 이스라엘 국방군 첩보 부대 조직인 8200부대 전 멤버로 이뤄져 있는 것으로 알려져 있다. 또 이스라엘에는 비슷한 사이버 보안 기업이 많이 존재하고 있으며 스파이 도구와 악성코드를 개발하고 팔아 치우는 거대한 사이버 보안 시장이 있는 것으로 알려져 있다.
칸디루는 정부 기관에 제품을 판매하고 있기 때문에 PSOA로 인식되고 있으며 시티즌랩은 정부기관이 데블스텅을 이용해 해킹하고 있을 가능성을 시사하고 이스라엘 사이버 보안 시장에서 상용 스파이웨어 시장이 성립하고 있는 게 사이버 범죄 온상이 되고 있기 때문에 엄격하게 규제해야 한다고 호소하고 있다. 관련 내용은 이곳에서 확인할 수 있다.