Google 취약점 대책팀이 발견한 '매우 정교한 사이버공격'의 수법이란?

iPhone을 무선으로 조작 가능한 취약점의 발견과 공급업체에 취약점 보고 등의 활동으로 잘 알려진 Google의 취약점 연구팀 'Project Zero'가 '매우 정교한 사이버공격'을 발견하였고 그 공격수법을 보고했습니다.

Project Zero : Introducing the In-the-Wild Series
https://googleprojectzero.blogspot.com/2021/01/introducing-in-wild-series.html

Introducing the In-the-Wild Series

Project Zero는 '제로데이 공격을 어렵게 하는 것'을 목적으로 매일 보안에 관한 연구를 실시하고 있습니다. 제로데이 공격을 어렵게 하는 방법 중 하나는 이미 알려진 제로데이 공격을 분석하는 것입니다만, 그것만으로는 알 수 없는 제로데이 공격은 막을 수 없습니다. 그래서 Project Zero는 Google의 위협분석 그룹 'Threat Analytis Group (TAG)'와 협력하여 알려지지 않은 제로데이 공격을 탐색한 결과, 2020년 1분기에 '매우 정교한 사이버공격'을 발견했습니다.

Project Zero에 따르면, '매우 정교한 사이버공격'의 공격수법은 대상자가 방문하는 사이트 등을 변조함으로써 공격대상 장치에 악성코드를 감염시키는 워터링 홀 공격(watering hole attack을 이용하여 공격대상 장치에 침입하는 다양한 코드를 실행합니다. 또한 공격대상 장치가 탑재한 OS에 따라 다른 공격수단을 실행합니다.

아래의 이미지는 이번에 발견된 사이버공격의 개략을 보여줍니다. 이 공격은 먼저 여러 웹사이트를 변조하여 악성코드를 심어두고 그 악성코드에 감염된 장치가 Windows · Android의 어느 쪽을 탑재하고 있는지 인식. 다음 각 OS 전용으로 만들어진 익스플로잇을 실행합니다.

이러한 공격은 공격의 초기단계에서 Google Chrome의 제로데이 취약점을 포함한 여러 취약점을 이용하여 공격대상으로부터 정보를 취득합니다. 공격자는 취득한 수십 종류의 정보를 바탕으로 공격대상 후보에 대한 공격의 계속 또는 중단을 결정하고, 공격의 계속이 결정되면 Windows의 제로데이 취약점을 포함한 3가지의 제로데이 취약점과 Android의 여러 취약점을 이용하여 권한 상승 공격을 시도합니다.

이러한 공격은 모듈마다 분할하여 설계되어 있었으며, 효율과 유연성이 우수했다는 것. 또한 공격이 크고 복잡한 코드로 구성되어 있었고 거기에 더해 대량의 안티분석 시스템이 내장되어 있었기 때문에 Project Zero는 공격의 분석에 수개월이 걸렸습니다.

Project Zero는 분석한 '매우 정교한 공격'에 대한 자세한 방법을 공개하며 "이 정보를 공개하여 충분한 자원을 가진 사이버공격 그룹의 존재를 많은 사람이 인식할 수 있기를 바랍니다."라고 말합니다.

또한 이번 분석에서 발견된 취약점은 모든 수정되었다고 합니다.