라푸스$(LAPSUS$)는 지난 3월초 엔비디아와 삼성전자를 해킹해 기밀 정보를 훔쳐 일약 유명세를 탄 해킹 그룹이다. 이런 라푸스$가 이번에는 마이크로소프트를 해킹했다고 주장했다. 이어 3월 22일 마이크로소프트는 자체 보안 블로그를 통해 라푸스$에서 받은 해킹에 대한 자세한 내용을 발표했다.
이에 따르면 라푸스$를 DEV-0537라고 호칭하고 있어 독자적으로 활동을 계속 관찰해왔다고 한다. DEV-0537은 랜섬웨어 페이로드를 배포하지 않고 순수한 공포와 파괴 모델을 사용하는 것으로 알려져 있으며 영국과 남미 조직을 대상으로 사이버 공격을 실시해 왔지만 최근 들어 공격 범위를 정부, 테크놀러지, 텔레콤, 미디어, 헬스케어 등 다양한 분야로 확대해왔다는 것. 또 라푸스$는 암호화폐 거래소를 거쳐 사용자 계정을 탈취하고 보유한 암호화폐를 훔치는 것으로도 알려져 있다.
마이크로소프트에 따르면 DEV-0537의 사이버 공격은 소셜미디어에서 공격 의도를 발표하거나 표적 조직 직원으로부터 시각 정보를 구입할 의도가 있다는 걸 홍보하는 등 전례 없이 공격적이라고 한다. 또 DEV-0537은 마이크로소프트가 활동을 주시하는 다른 위협 행위자가 보이지 않는 독자 전술을 몇 가지 구사하고 있다고 한다. 이 중 하나가 전화 기반 소셜 엔지니어링이다. 사용자 계정 탈취를 용이하게 하기 위해 SIM 카드를 물리적으로 훔치거나 타깃 조직 직원이 비공개로 사용하는 이메일 계정에 직접 액세스하고 자격 증명, 다중 요소 인증을 얻기 위한 타깃 조직 직원이나 공급자, 비즈니스 파트너에게 금전적 보상을 제시하는 등 방법이 다양하다.
마이크로소프트에 따르면 DEV-0537은 사이버 공격 기점이 되는 사용자 계정 정보를 다양한 방법으로 얻고 있으며 스팸 메일 보내기나 조직 헬프 데스크에 연락해 공격 대상이 되는 사용자 자격 증명을 리셋하기도 한다. 또 도난당한 사용자 계정 자격 증명을 통해 조직 사이버 시스템에 대한 액세스를 강화하고 표적 조직 데이터를 도난, 파괴할 수 있도록 한 뒤 조직에 몸값을 요구하는 공갈을 한다. 따라서 마이크로소프트는 DEV-0537을 데이터 도난과 파괴에 의해 동기 부여된 사이버 범죄자라고 단정하고 있다.
마이크로소프트는 DEV-0537이 자사에서 훔친 데이터에는 고객 관련 코드나 데이터는 포함되어 있지 않다고 주장하고 있다. 보안 대책으로 자사에서 사용하는 코드 기밀성에 의존하지 않는다고 주장학 있으며 일부 소스 코드가 유출되어도 보안상 위험이 높아지는 건 없다고도 밝히고 있다. 또 DEV-0537 활동에 따라 사이버 공격 기점으로 여겨졌다고 보고 사용자 계정 액세스를 제한해 자사 사이버 보안팀이 침해 계정에 빠르게 대응했다고 한다.
한편 라푸스$는 빙과 코타나 소스 코드 각각 45%씩, 빙맵 소스 코드 90%를 포함한 250개 이상 프로젝트에 대한 소스 코드를 훔쳤다고 주장하고 있으며 이 가운데 37GB 분량 소스 코드를 인터넷에 게시하고 있다. 이 데이터가 마이크로소프트 것인지는 불분명하지만 유출된 파일을 조사한 보안 연구자는 마이크로소프트의 정당한 내부 소스 코드 같다고 밝히고 있다. 관련 내용은 이곳에서 확인할 수 있다.
한편 라푸스$는 텔레그램 채널에 올린 스크린샷을 통해 옥타(Okta) 내부 관리 패널에 액세스한 걸 공개하고 표적이 옥타가 아닌 옥타를 이용하는 기업이라고 밝히고 있다.
이에 따라 옥타 측은 자사가 2022년 1월말 위탁자인 타사 고객 지원 엔지니어 계정 침해 시도를 발견했으며 봉쇄됐으며 온라인을 공유된 스크린샷은 지난 1월 이벤트와 관련된 것으로 보이지만 활동이 진행되고 있다는 증거가 없다고 밝혔다.
이후 옥타가 발표한 성명에 따르면 해커는 2022년 1월 16일부터 21일까지 5일간에 걸쳐 엔지니어 노트북에 액세스 가능했다고 한다. 옥타 서비스는 침해되지 않았고 완벽하게 작동한다며 고객이 취해야 할 시정 조치도 없다고 밝혔다.
다만 일부 보안 전문가는 옥타 측 설명에 대해 공격을 가능하면 경시하려고 시도한 것처럼 보이며 성명에서도 직접 모순을 일으키는 곳까지 진행하고 있다고 지적하기도 한다. 또 클라우드플레어도 라푸스$에 의한 옥타에 대한 공격과 관련된 내부 조사 결과를 보고했다. 이에 따르면 라푸스$에 의한 옥타 공격을 나타내는 트윗을 깨달은 직원이 보안 인스턴트 대응팀에 연락하고 곧바로 조사가 시작됐다고 한다. 조사팀은 관련 감사 로그를 검토하고 옥타에 연락해 정보 제공을 요청하고 영향을 받은 사용자 계정을 중지하는 등 조치를 취했다. 또 2021년 12월 1일 이후 암호나 다요소 인증 리셋이 이뤄진 직원 144명에게 암호 리셋과 변경을 강제했다고 한다. 조사 결과 클라우드플레어는 옥타에 대한 해킹과 관련한 침해가 없었다고 결론을 내렸다. 관련 내용은 이곳에서 확인할 수 있다.