러시아 해커 조직 Turla가 최근 오스트리아 경제 회의소, 나토 온라인 교육 플랫폼, 발트해 방위 대학을 대상으로 사이버 공격을 시도하고 있다.
SEKOIA.IO TDR(Threat & Detection Research) 연구원은 발트해 방어 대학, 오스트리아 경제 회의소 등을 대상으로 한 스파이 활동을 감지했다. 연구원에 따르면, Turla가 배포한 파일은 SMB(서버 메시지 블록)가 아니라 HTTP 프로토콜을 통해서만 연결됐으며 악성 코드를 포함하지 않고 정찰 목적으로만 사용된 것으로 알려졌다.
전문가들은 "모든 디렉토리에서 ‘War Bulletin April 27, 19:00 CET’라는 이름의 문서를 발견했으며 이 문서에는 연결할 수 없는 logo.png라는 외부 PNG 파일이 포함돼 있었다. 해당 문서에는 악의적인 매크로가 포함되어 있지 않다. 이는 문서가 정찰 목적으로만 사용되었음을 암시한다"라고 설명했다.
해커는 문서가 자체 제어 서버에 대해 수행한 HTTP를 통해 피해자가 사용하는 워드 응용 프로그램의 버전과 유형을 제어할 수 있다. 이는 MS 워드에 대한 맞춤형 익스플로잇을 보내는 경로가 되기도 한다. 또한 해커는 SIGINT 기능을 통해 피해자의 통신을 모니터링해 피해자의 IP 주소를 알아낼 수도 있다.
한편, Turla는 러시아 정부와 연계된 APT 해커 조직으로 중동, 아시아, 유럽, 북미 및 남미, 구 소련 블록의 외교 및 정부 기관 및 민간 기업을 대상으로 최소 2004년 부터 활동해 온 것으로 알려진다. 또한 이들은 스위스 방위 회사 RUAG, 미 국무부, 유럽 정부 기관 및 미 중부 사령부를 공격하기도 했다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
