11.14
뉴스홈 > 보안/해킹
파이어아이 “악성코드 ‘트리톤’, 러시아 정부와 연관”활동 시간대 및 IP주소 등 고려할 때 연관성 높아

   
 
[아이티데일리] 파이어아이(FireEye)는 중요 기반 시설의 산업 제어 시스템(ICS)에 영향을 미친 악성코드 ‘트리톤 침입(TRITON intrusion)’이 사이버 첩보조직인 템프벨레스(TEMP.Veles)의 활동과 연관이 있는 것으로 보인다고 30일 밝혔다. 또한 ‘트리톤 침입’ 건과 관련해 템프벨레스와 러시아 정부가 소유한 연구 기관과의 연관성이 높은 것으로 조사됐다.

파이어아이는 트리톤 설치를 위한 침입활동을 지원한 곳이 모스크바에 위치한 러시아 정부 소유의 중앙화학역학과학연구소(Central Scientific Research Institute of Chemistry and Mechanics, 이하 CNIIHM)일 가능성이 높다고 판단했다. 이런 판단에 대한 근거는 템프밸런스의 활동에서 트리톤 침입 때 사용된 일부 악성 SW 버전을 발견했으며, 템프벨레스의 활동에서 관찰된 행동 패턴은 CNIIHM이 위치한 모스크바의 시간대와 일치 등이다.

또 CNIIHM에 등록된 IP주소가 트리톤의 오픈소스 탐지, 네트워크 정찰, 트리톤 침입을 위한 악성 활동 등 템프벨레스의 다양한 목적 달성을 위해 사용됐다는 점은 CNIIHM과 탬프벨레스의 연관성을 의심할 수 있는 부분이다.

파이어아이는 템프벨레스의 활동을 조사하는 동안 이들이 공격대상의 환경에 설치한 다수의 고유한 툴을 발견했다. 해시(hash)로 일부 동일한 툴을 확인했으며, 이들은 한 유저가 악성코드 테스트 환경에서 시험한 바 있다. 또한, CNIIHM과 연결된 테스트 활동, 악성코드 아티팩트, 악의적인 행위가 있는 가능성도 있을 것으로 추정했다.

파이어아이는 “CNIIHM의 직원이 상사의 허가 없이 템프벨레스의 활동을 추진했을 가능성도 배제할 수 없으나, 조사에 따르면 이러한 경우는 템프벨레스가 연구소의 후원으로 활동했을 타당성보다는 낮다”고 말했다. 

인기기사 순위
(우)08503 서울특별시 금천구 가산디지털1로 181 (가산 W CENTER) 1713~1715호
TEL : 02-2039-6160  FAX : 02-2039-6163  사업자등록번호:106-86-40304
개인정보/청소년보호책임자:김선오  등록번호:서울 아 00418  등록일자:2007.08  발행인:김용석  편집인:김선오