북한과 관련된 국가 후원 해커들이 지난 3년 동안 암호화폐 거래소에 대한 수많은 공격의 배후에 있다는 새로운 증거가 드러났다.

더해커뉴스는 보도를 통해, 이스라엘의 사이버 보안회사 클리어스카이(ClearSky) 연구원들은 라자루스 그룹(일명 APT38 또는 히든 코브라)이 ‘CryptoCore(크립토코어)’라는 캠페인을 통해 이스라엘, 일본, 유럽 및 미국의 암호화폐 거래소를 표적으로 수백만 달러 상당의 가상 화폐를 훔쳤다고 말했다.

클리어스카이 분석에 따르면, 2009년에 등장한 이후, 라자루스 해킹 공격자들은 공격적인 사이버 능력을 활용해 기업 및 중요 인프라에 대한 스파이 활동 및 사이버 암호 화폐 작전을 수행했다. 이들의 표적은 북한의 경제적, 지정학적 이익과 일치한다. 이는 주로 국제적 제재를 회피하기 위한 수단으로 금전적 이익이 목적이다. 최근 몇 년 동안 라자루스 그룹은 국방 및 항공 우주 산업을 목표로 공격을 더욱 확대했다.

특히 CryptoMimic, Dangerous Password, CageyChameleon, Leery Turtle라고도 불리는 CryptoCore는 주로 암호 화폐 지갑의 도난에 초점을 맞추고 있다는 점에서 라자루스 그룹의 다른 작전들과 다르지 않다.

2018년에 시작된 것으로 추정되는 이 캠페인 운영 방식은 스피어 피싱을 침입 경로로 활용해 피해자의 암호 관리자 계정을 확보하고 이를 사용해 지갑 키를 약탈하고 통화를 공격자가 소유한 지갑으로 전송한다.

2020년 6월에 발표된 클리어스카이 보고서에 따르면, 라자루스 그룹은 미국, 일본 및 CryptoCore 캠페인과 중동에 위치한 5명의 피해자를 연결하여 약 2억 달러를 훔쳐낸 것으로 분석된다. 이 점들을 연결하는 것에 있어서 최신 연구에 따르면 작전이 이전에 문서화된 것보다 더 널리 퍼졌고 동시에 공격 벡터의 여러 부분이 진화했다.

네 개의 공개된 정보에서 IoC(Indicator of Compilation)를 비교한 결과 행위 및 코드 수준의 중복이 충분히 발견되었을 뿐만 아니라 각 보고서가 대규모 공격의 다른 측면을 다루고 있을 가능성이 높아졌다.

또한 ClearSky는 CryptoCore 캠페인에 배포된 악성코드를 다른 라자루스 캠페인과 비교해 속성을 재확인했으며 강력한 유사성을 발견했다고 말했다.

ClearSky 연구원은 “이 그룹은 수년 동안 전 세계의 수많은 회사와 조직을 성공적으로 해킹했다. 이 그룹은 최근까지는 이스라엘을 표적으로 공격하는 것으로 알려지지 않았다”라고 덧붙였다.

★정보보안 대표 미디어 데일리시큐!★