미국의 국가안전보장국이 유명 하드디스크 드라이브 제조업체들의 펌웨어 내부에 스파이웨어를 숨겨왔었으며, 여기에 해당된 제조업체들은 이름만 들어도 알만한 브랜드들인 Seagate社, Samsung社, Toshiba社, Western Digital社 등이 포함되어있는 것으로 나타났으며, 해당 스파이 프로그램은 이미 지난 20년 전부터 운영되어 온 것으로 드러나 큰 충격을 주고 있다.
보안솔루션 제공업체인 Kaspersky社가 발간한 최신 보고서를 살펴보면, 전 세계 30개 국가가 넘는 곳의 PC용 하드디스크 드라이브들 내부의 펌웨어에 숨겨져있는 스파이웨어가 발견되었으며, 여기에 가장 많이 노출된 국가는 이란이었다고 한다. 그밖에는 러시아, 파키스탄, 아프가니스탄, 중국, 말리, 시리아, 예멘, 알제리도 스파이웨어에 감염되어있는 것으로 나타났다. 또한 이들의 감시목표가 된 곳들은 주로 정부와 군 관련 기관, 텔레콤 사업자들, 은행권, 에너지 기업, 핵 연구자, 미디어, 이슬람 활동주의자들이었던 것으로 알려진 상황이다.
이른바 `Equation Group`이라 명명된 이들 조직의 공격은 1996년부터 시작된 것으로 추정되고 있으나 2001년부터 확실하게 수행된 흔적을 찾을 수 있었다고 한다. 이들 조직은 다수의 말웨어 플랫폼을 활용해 복잡성과 세련화된 방식으로 이미 잘 알려진 위협요인들을 능가해온 것으로 나타났다.
Kaspersky社의 보고서에 언급된 내용을 살펴보면, 아마도 이들 조직이 현재까지 전 세계적으로 가장 세련된 사이버공격을 하는 단체들 중 하나인 것으로 예상되고 있으며, 이들의 발전수준은 매우 높은데다가 위협수준 또한 매우 높다고 밝혔다고 한다.
게다가 통상적으로 Equation Group이 사용하는 특정한 말웨어 유포방식은 이들의 말웨어를 통해 RC5 암호화 알고리즘의 특정 실행을 이행시키는 것으로 알려져 있으며, 기타 암호학적 기능이나 해쉬적인 측면과 더불어 가장 최신의 공격모듈인 RC6, RC4, 그리고 고급암호표준 또한 활용하고 있다고 한다.
이들 조직이 사용하는 다양한 기법들 중 Kaspersky社의 관심을 끌어들인 하나의 복잡한 말웨어 기법은 가우스라고 한다. 우선 GrayFrish로더가 SHA-256을 1천번 가량 사용해 고유의 NTFS 오브젝트 ID를 피해자의 윈도우 폴더에 접근해 레지스트리 정보로부터 복호화시킬 준비를 한다고 한다. 이를 통해 감염된 사용자의 PC는 감염 당시 생성된 NTFS 오브젝트 ID에 대한 정보 없이는 데이터가 복호화될 수 없게 된다고 한다.
이밖에도 이들 조직이 사용하는 다수의 확인된 말웨어 플랫폼들에 대한 정보는 아래와 같다고 하니, 사용자들의 주의가 필요하다고 볼 수 있겠다;
1. EquationDrug - Equation Group에 의해 사용될 수 있는 매우 복잡한 공격용 플랫폼. 모듈 플러그인 시스템을 지원하며 공격자에 의해 업로드와 언로드 기능 모두 가능
2. DoubleFantasy - 유효성 검사 스타일의 트로잔 바이러스로서 특정 공격자를 식별할 수 있는 능력을 지니고 있음. 만일 공격목표가 확인되면 보다 향상된 플랫폼으로 자체 업그레이드 가능 (1번 또는 5번 플랫폼으로)
3. Equestre - 1번과 동일함
4. TripleFantasy - 모든 기능을 갖춘 백도어, GrayFish와 함께 사용될 수 있음. 흡사 DoubleFantasy 바이러스의 업그레이드 버전과 같으며 보다 최근에 개발된 유효성 검증 플러그인 방식 사용
5. GrayFish - 가장 세련된 공격형 플랫폼, 레지스트리에 온전하게 거주하면서 운영체제 시스템의 시작단계에서 실행권한을 얻어 부트키트로 동작함
6. Fanny - 2008년 개발된 웜 바이러스, 동남아 및 아시아 지역의 공격목표에 대한 정보를 취합하는데 활용됨
7. EquationLaser - 가장 초기에 사용되던 기생형 바이러스로 2001년에서 2004년 활발하게 사용되었음. Windows 95 및 98 버전에 호환이 가능함
상기 언급된 다양한 말웨어와 바이러스에 노출된 피해자들은 감염 즉시 체감효과를 알 수 없다고 알려져 있다. 우선 공격자들이 DoubleFantasy 바이러스로 피해자의 디지털기기를 감염시키게 되고, 공격자가 감염자가 흥미로운 목표물이라고 판단되었을 경우 EquationDrug 플랫폼의 설치가 이루어지는 방식을 띈다고 한다.
GrayFish는 현재 Equation group에서 사용하는 임플란트형 말웨어 중 가장 최신의 세련화된 공격방식이라고 할 수 있겠다. 효과적이고 거의 보이지않게 은밀히 지속적으로 활동할 수 있도록 고안되었기에 숨겨진 저장공간과 악의적인 실행명령파일을 윈도우 운영체제 시스템 내부에서 이행하게 되기 때문이라고 한다.
지난 2008년에서 2013년 사이에 개발된 GrayFish는 모든 현대화된 버전의 Microsoft社에서 제공하는 운영체제 시스템에 영향을 미칠 수 있는 것으로 드러났으며, 여기에는 Windows NT 4.0, Windows 2000, Windows XP, Windows Vista, Windows 7 및 Windows 8 까지도 해당이 되며, 32비트 운영체제건 64비트 운영체제건 무관하다고 한다.
이렇게 훔쳐낸 정보를 저장하기 위해 또는 자체적인 예비정보의 취합을 위해 GrayFish는 자체적인 암호화방식인 가상파일시스템을 윈도우 레지스트리 내부에 설치한다고 한다. 이는 현대화된 운영체제 시스템의 보안 메커니즘을 무력화시키거나 피하기 위해 커넬 모드에서 신뢰할 수 없는 코드를 차단시키는 기능을 마비시키는 것이라 할 수 있겠다.
Kaspersky社에 의해 발간된 44페이지에 달하는 보고서에는 소프트웨어 공급업체들 또한 미국의 정보기관들과 연루되어있으며, 특히 특정 보안패치를 업데이트하지않고 가만히 놔두거나 이들에게 사용자 시스템에 접근할 수 있는 백도어를 제공하는 등의 행위가 의심되고 있다는 내용을 언급하고 있는 상황이다.
국가안전보장국에서 일했던 한 임직원이 로이터통신과의 인터뷰에서 밝힌 내용을 살펴보면, Kaspersky社의 위와 같은 분석은 정확하며 아직도 정보감시기관 내의 사람들은 이러한 감시프로그램에 가치를 두고 있다는 점에 주목해야 할 필요가 있다고 밝혔다고 한다. 보안솔루션 제공업체의 분석보고서를 통한 이러한 주장에 대해 미국의 국가안전보장국은 공식적인 언급을 거절한 상황이라고 한다.
[출처: http://www.reuters.com/article/2015/02/17/us-usa-cyberspying -idUSKBN0LK1QV20150217]
http://www.computing.co.uk/ctg/news/2395675/nsa-burying-spyware-within-firmware-on-disk-drives-made-by-seagate-western-digital-and-other-major-manufacturers
