구글 위협 분석 그룹(TAG)은 2023년 11월부터 2024년 7월까지 몽골 정부 웹사이트에 대한 사이버 공격에 관한 조사 결과를 발표했다. TAG 보고서에 따르면 이 공격은 러시아 정부 지원을 받는 해킹 그룹 APT29가 수행했으며 스파이웨어 제조업체인 인텔렉사(Intellexa)와 NSO 그룹이 과거에 개발한 익스플로잇을 악용했다고 밝혔다.
APT29는 코지베어(Cozy Bear)라고도 불리는 해커 그룹으로 러시아 대외 정보국(SVR)과 밀접한 관련이 있는 것으로 알려졌으며 미국 민주당 전국위원회 서버 침입이나 마이크로소프트에 대한 공격으로 일부 이메일이 유출된 사건 등으로 유명하다.
TAG는 8월 29일 많은 몽골 정부 기관이 APT29 공격을 받았다고 보고했다. TAG에 따르면 2023년 11월부터 2024년 7월 사이 몽골 정부 웹사이트에 삽입된 익스플로잇 코드가 발견됐으며 이 기간 동안 아이폰이나 안드로이드 기기를 사용해 해당 사이트에 접근한 사용자는 스마트폰 해킹이나 비밀번호를 포함한 데이터 유출 위험이 있었다고 한다. 해당 익스플로잇은 사파리와 크롬을 대상으로 했으며 현재는 수정됐지만 수정 패치가 적용되지 않은 기기에서는 여전히 침해 위험이 높다고 한다.
APT29는 몽골 정부 여러 웹사이트에 악성 코드를 삽입해 사이트를 방문한 사용자 기기에 침투하는 워터링 홀 공격을 수행했다. 또 안드로이드 기기를 대상으로 한 캠페인에서는 여러 익스플로잇을 결합해 크롬 브라우저에 저장된 사용자 쿠키를 탈취한 것으로 알려졌다.
구글 측은 APT29가 이번 공격에서 누구를 표적으로 삼았는지는 명확하지 않지만 익스플로잇이 호스팅된 위치와 이들 사이트에 주로 접근하는 사람을 고려할 때 몽골 정부 직원이 목표였을 가능성이 크다고 말헀다.
TAG는 분석 결과에서 공격자가 스파이웨어 제조업체 인텔렉사 및 NSO 그룹이 이전에 사용했던 익스플로잇과 동일하거나 유사한 익스플로잇을 사용하고 있다고 보고했다. APT29가 사용한 익스플로잇 코드와 2023년 9월 인텔렉사가 사용한 코드를 보면 코드 위치를 제외하고 대부분 코드가 동일하다는 게 확인됐다.
인텔렉사와 NSO 그룹 같은 기업은 상업용 스파이웨어 벤더(CSV)로 불리며 합법적인 감시 수단으로서 특정 정부 및 법 집행 기관에만 제품을 판매한다는 합법성을 주장하고 있다. 하지만 이들은 인권 단체 및 프라이버시 보호 단체로부터 불법적인 감시와 억압의 도구라는 비판을 받아왔다.
TAG는 APT29에 사용된 익스플로잇이 CSV에 의해 직접 공유된 것인지 아니면 APT29가 CSV의 익스플로잇을 어떤 수단으로든 입수해 재사용한 것인지는 불분명하다고 밝히면서 CSV가 개발한 익스플로잇이 APT29를 포함한 위협 행위자에게 확산될 가능성을 강조한다고 지적했다.
한편 NSO 그룹 측은 자사 제품을 러시아에 판매하지 않는다며 NSO 그룹 기술은 미국, 이스라엘 및 동맹 관계에 있는 정보 기관과 법 집행 기관에만 판매되며 당사 시스템과 기술은 높은 보안성을 갖고 있으며 외부 위협을 감지하고 차단하기 위해 지속적인 모니터링을 받고 있다고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.