보안 메신저로 유명한 텔레그램을 위장한 트로이목마가 중앙아시아 외교기관을 노리고 사이버스파이 활동을 벌인 것으로 밝혀졌다. 카스퍼스키랩에 따르면 ‘중앙아시아에서 텔레그램이 금지될 수 있다’는 내용의 보도를 인용, 텔레그램 대안 버전으로 위장한 설치파일에 ‘옥토퍼스’ 트로이 목마를 숨겨 배포한 것으로 알려졌다.
설치파일은 한 야당의 상징물로 런처를 위장하고 있으며, 트로이목마가 활성화된 후에는 공격자가 감염된 컴퓨터의 데이터를 삭제, 차단, 수정, 복사, 다운로드하는 등 다양한 데이터 조작을 감행한다. 피해자를 대상으로 스파이 행위를 하고 민감한 데이터를 훔칠 수 있으며, 시스템에 접근할 수 있는 백도어를 확보할 수 있었다. 이 기법은 악명 높은 사이버 스파이 공격인 주파크와 유사하다. 주파크는 텔레그램 앱을 모방한 악성 코드를 사용한 APT로 피해자에게 스파이 행위를 했던 사례다.
연구진은 소프트웨어 코드에서 유사성을 포착하는 카스퍼스키 알고리즘을 사용하고 있으며, 옥토퍼스가 ‘더스트스쿼드(DustSquad)’와 연관돼 있을 가능성을 발견했다. 더스트스쿼드는 러시아어를 구사하는 사이버 스파이 그룹으로, 2014년부터 아프가니스탄을 비롯하여 구소련 지역에 해당하는 중앙아시아 국가에서 포착된 바 있다. 최근 2년 동안 카스퍼스키랩에서 탐지한 이들의 맞춤형 안드로이드와 윈도우 악성 코드 캠페인은 총 4건으로, 개인 사용자와 외교 기관을 모두 표적으로 삼았다.
이창훈 카스퍼스키랩코리아 지사장은 “2018년에 중앙아시아의 외교 기관을 표적으로 하는 해킹 사례가 다수 발견됐다. 더스트스쿼드는 수년간 해당 지역에서 활동 중이며 이번에 발견된 공격의 배후로도 의심된다. 사이버 공격은 국경과 관계없이 모든 지역을 노릴 가능성이 있으므로 모든 지역의 사용자와 조직이 시스템을 주시하면서 직원에게도 주의를 당부할 것을 강력히 권한다”고 말했다.
