Home적합북한 사이버 스파이가 외국 전문가를 속여 연구 자료를 작성하도록 하고 있습니다.

북한 사이버 스파이가 외국 전문가를 속여 연구 자료를 작성하도록 하고 있습니다.

미국에 기반을 둔 외교 분석가인 Daniel DePetris가 10월에 38 North 싱크탱크의 책임자로부터 기사를 의뢰하는 이메일을 받았을 때, 그것은 평소와 같이 업무가 진행되는 것처럼 보였습니다.

그렇지 않았습니다.

관련된 사람들과 세 명의 사이버 보안 연구원에 따르면 보낸 사람은 실제로 정보를 찾는 북한 스파이로 의심되는 사람이었습니다.

발신자는 해커가 일반적으로 하는 것처럼 자신의 컴퓨터를 감염시키고 민감한 데이터를 훔치는 대신 38노스의 제니 타운 이사로 가장해 북한 안보 문제에 대한 자신의 생각을 끌어내려는 것으로 보입니다.

DePetris는 타운을 언급하며 로이터와의 인터뷰에서 “추가 질문을 위해 그 사람에게 연락했고 실제로 요청이 없었고 이 사람도 목표라는 것을 알게 되자 그것이 합법적이지 않다는 것을 깨달았습니다.”라고 말했습니다. “그래서 저는 이것이 널리 퍼진 캠페인이라는 것을 꽤 빨리 알아차렸습니다.”

사이버 보안 전문가, 5명의 표적 개인 및 Reuters가 검토한 이메일에 따르면 이 이메일은 북한 해킹 그룹으로 의심되는 새로운 이전에 보고되지 않은 캠페인의 일부입니다.

북한 스파이는 비밀번호를 알려주거나 멀웨어를 로드하는 첨부 파일 또는 링크를 클릭하여 대상에게 이메일을 보내는 것으로 알려져 있습니다.
게티 이미지를 통한 코비스

연구원들이 Thallium 또는 Kimsuky라고 명명한 이 해킹 그룹은 대상이 암호를 포기하도록 속이거나 맬웨어를 로드하는 첨부 파일 또는 링크를 클릭하도록 속이는 “스피어 피싱” 이메일을 오랫동안 사용해 왔습니다. 그러나 지금은 단순히 연구원이나 다른 전문가에게 의견을 제시하거나 보고서를 작성하도록 요청하는 것으로 보입니다.

Reuters가 검토한 이메일에 따르면 제기된 다른 문제 중에는 새로운 핵 실험이 있을 경우 중국의 반응이 있었습니다. 그리고 북한의 “침략”에 대한 “조용한” 접근이 보장되는지 여부.

MSTIC(Microsoft Threat Intelligence Center)의 James Elliott는 “공격자들은 이 매우 간단한 방법으로 엄청난 성공을 거두고 있습니다.”라고 새로운 전술이 1월에 처음 등장했다고 덧붙였습니다. “공격자가 프로세스를 완전히 변경했습니다.”

MSTIC는 탈륨 공격자 계정에 정보를 제공한 “여러” 북한 전문가를 확인했다고 말했습니다.

이번 캠페인의 대상이 된 전문가와 분석가들은 국제 여론과 외국 정부의 대북 정책을 형성하는 데 영향력이 있다고 사이버 보안 연구원들은 말했습니다.

미국 정부 사이버 보안 기관의 2020년 보고서에 따르면 탈륨은 2012년부터 운영되고 있으며 “북한 정권이 글로벌 정보 수집 임무를 맡을 가능성이 가장 높습니다.”

Microsoft에 따르면 Thallium은 역사적으로 정부 직원, 싱크 탱크, 학계 및 인권 단체를 표적으로 삼았습니다.

해커
북한은 사이버 범죄에 연루된 적이 없다고 부인했습니다.
게티 이미지를 통한 LightRocket

Elliot는 “공격자들은 말의 입에서 직접 정보를 얻고 있습니다. 그들은 전문가로부터 직접 정보를 얻기 때문에 거기 앉아서 해석을 할 필요가 없습니다.”라고 말했습니다.

새로운 전술

북한 해커들은 지도자를 모욕하는 것으로 보이는 영화를 통해 Sony Pictures를 표적으로 삼고 제약 및 방산 회사, 외국 정부 등으로부터 데이터를 훔치는 등 수백만 달러를 벌어들이는 공격으로 잘 알려져 있습니다.

런던 주재 북한 대사관은 논평 요청에 응답하지 않았지만 사이버 범죄에 연루된 사실을 부인했습니다.

BAE 시스템즈 어플라이드 인텔리전스(BAE Systems Applied Intelligence)의 수석 위협 인텔리전스 분석가인 사허 나우만(Saher Naumaan)은 다른 공격에서 Thallium과 다른 해커들은 악성 소프트웨어를 보내기 전에 대상과의 신뢰를 구축하는 데 몇 주 또는 몇 달을 보냈다고 말했습니다.

그러나 Microsoft에 따르면 이 그룹은 이제 피해자가 응답한 후에도 악성 파일이나 링크를 보내지 않고 어떤 경우에는 전문가와 협력하고 있습니다.

이 전술은 누군가의 계정을 해킹하고 이메일을 훑어보는 것보다 더 빠를 수 있고, 악의적인 요소가 있는 메시지를 스캔하고 표시하는 기존의 기술 보안 프로그램을 우회하며, 스파이가 전문가의 생각에 직접 액세스할 수 있도록 허용한다고 엘리엇은 말했습니다.

“변호인으로서 우리에게 이러한 이메일을 차단하는 것은 정말 정말 어렵습니다.”라고 그는 말하면서 대부분의 경우 받는 사람이 알아낼 수 있는지 여부에 달려 있다고 덧붙였습니다.

김정은
공격자는 문서를 의뢰했으며 ​​분석가는 무슨 일이 일어났는지 깨닫기 전에 전체 보고서 또는 원고 리뷰를 제공했습니다.
게티 이미지

Town은 자신이 보낸 것으로 추정되는 일부 메시지가 “.org”로 끝나는 공식 계정이 아닌 “.live”로 끝나는 이메일 주소를 사용했지만 전체 서명란을 복사했다고 말했습니다.

그녀는 자신을 사칭한 의심스러운 공격자가 답장에 그녀를 포함시킨 초현실적인 이메일 교환에 연루된 적이 있다고 말했습니다.

Defence Priorities의 동료이자 여러 신문의 칼럼니스트인 DePetris는 자신이 받은 이메일이 마치 연구원이 논문 제출을 요청하거나 초안에 대한 의견을 요청하는 것처럼 작성되었다고 말했습니다.

“조사가 합법적인 것처럼 보이게 하기 위해 서신에 싱크 탱크 로고를 부착하는 등 매우 정교했습니다.”라고 그는 말했습니다.

38노스로부터 위조된 이메일을 받은 지 약 3주 후 별도의 해커가 그를 사칭하여 다른 사람들에게 초안을 보도록 이메일을 보냈다고 DePetris는 말했습니다.

DePetris가 Reuters와 공유한 이 이메일은 북한의 핵 프로그램에 관한 원고를 검토하는 대가로 300달러를 제공하고 다른 가능한 검토자를 추천해 달라고 요청했습니다. 엘리엇은 해커들이 연구나 응답에 대해 누구에게도 돈을 지불하지 않았으며 앞으로도 그럴 생각이 없다고 말했습니다.

정보 수집

명의 도용은 전 세계적으로 스파이를 위한 일반적인 방법이지만 제재와 전염병으로 인해 북한의 고립이 심화됨에 따라 서방 정보 기관은 북한이 특히 사이버 캠페인에 의존하게 되었다고 믿고 있다고 서울의 한 보안 소식통은 익명을 조건으로 로이터 통신에 말했습니다. 정보 문제를 논의합니다.

2022년 3월 보고서에서 북한의 유엔 제재 회피를 조사하는 전문가 패널은 탈륨의 노력을 북한의 제재 회피를 “알리고 지원하기 위한 간첩 활동에 해당”하는 활동으로 나열했습니다.

타운은 어떤 경우에는 공격자들이 문서를 의뢰했고 분석가들은 무슨 일이 일어났는지 깨닫기 전에 전체 보고서나 원고 리뷰를 제공했다고 말했습니다.

DePetris는 해커들이 북한의 군사 활동에 대한 일본의 대응을 포함하여 그가 이미 작업하고 있는 문제에 대해 그에게 물었다고 말했습니다.

일본 교도통신 기자로 사칭한 또 다른 이메일은 38북측 직원에게 우크라이나 전쟁이 북한의 생각에 어떤 영향을 미쳤다고 생각하는지 질문하고 미국, 중국, 러시아 정책에 대해 질문했다.

드페트리스는 “북한이 미국의 대북 정책과 그 방향을 더 잘 이해하기 위해 싱크탱커들로부터 솔직한 견해를 얻으려고 노력하고 있다고 추측할 수밖에 없다”고 말했다.

최신 기사

더 탐색