정용환 기자
털라(Turla)는 시크릿 블리자드(Secret Blizzard)라고로도 알려진 사이버 스파이 집단으로 미국 사이버보안 인프라 보안국(CISA)은 시크릿 블리자드는 러시아 연방보안국(FSB) 신호정보(SIGINT) 및 컴퓨터 네트워크 작전(CNO) 기관인 센터 16이라고 밝혔다.
털라의 가장 큰 특징 중 하나는 다른 해커 공격 경로를 가로채 활동하는 점. 마이크로소프트 위협 인텔리전스팀과 미국 통신사 루멘(Lumen)은 12월 4일 털라가 파키스탄 위협 행위자인 Storm-0156이 구축한 인프라를 사용해 해외로 멀웨어 공격을 전개했다고 보고했다.
추가로 마이크로소프트는 12월 11일 털라가 러시아 해커인 Storm-1919와 Storm-1837 인프라를 하이재킹해 우크라이나에서의 러시아 군사 작전을 유리하게 진행하려 했다는 것을 밝혀냈다.
보고된 첫 번째 공격은 지난 3월부터 4월 사이 발생했으며 Storm-1919가 사용하던 멀웨어인 Amadey가 이용됐다. Amadey는 원래 암호화폐 채굴자를 대상으로 했지만 털라는 Amadey를 이용해 백도어 2개(Tavdig, KazuarV2)를 우크라이나 군사 네트워크에 설치하고 스타링크 연결 장치를 포함한 우크라이나 측 하드웨어를 공격했다.
털라가 Amadey 봇넷을 탈취했는지 아니면 Storm-1919로부터 봇넷 접근 권한을 구매했는지는 명확하지 않다. 마이크로소프트는 시크릿 블리자드가 Amadey를 멀웨어 서비스(MaaS)로 사용했거나 비밀리에 Amadey 명령 및 제어(C2) 패널에 접근해 대상 장치에 파워셸(PowerShell) 드로퍼를 다운로드하게 했다고 평가했다.
2번째 공격은 2024년 1월 털라가 또 다른 위협 행위자인 Storm-1837 인프라를 하이재킹해 수행한 것이다. Storm-1837은 원래 Cookbox라는 파워셸 백도어를 사용해 우크라이나 드론 조종사가 사용하는 장치를 대상으로 공격을 수행했었지만 털라는 이를 이용해 Tavdig와 KazuarV2를 배치했다.
Storm-1919와 마찬가지로 털라가 Storm-1837을 완전히 탈취했는지 아니면 협력했는지는 분명하지 않지만 이번 보고를 통해 다른 해커 활동을 이용해 외국을 공격하는 털라 수법에 대한 자세한 내용이 밝혀졌다.
마이크로소프트는 어떤 수단을 사용했든, 시크릿 블리자드가 다른 위협 행위자로부터 제공되거나 도난당한 발판을 사용했다는 사실은 시크릿 블리자드가 우크라이나 군사용 장치에 대한 접근을 최우선 순위로 삼고 있음을 보여준다고 마이크로소프트 위협 인텔리전스팀은 평가하고 있다. 시크릿 블리자드가 여기서 언급한 캠페인 외에도 이런 방식을 사용할 가능성이 높아 보인다고 언급했다. 관련 내용은 이곳에서 확인할 수 있다.
이원영 기자
이석원 기자
