KL Technologies, 성공적인 사업 파트너
리소스 207 모듈: 카스퍼스키 랩, 스턱스넷과 플레임 개발자가 서로 연관이 있음을 증명.
 
2012년 5월 발견된 플레임 악성 프로그램은 가장 복잡한 사이버 무기로 드러났습니다. 처음 플레임을 발견했을 때는 스턱스넷과 듀쿠를 만든 팀이 플레임을 개발했다는 확실한 증거가 없었습니다. 플레임과 듀쿠/스턱스넷의 개발 목적은 꽤 달라서, 이 프로젝트는 별도의 팀에서 개발되었다는 결론을 이끌었습니다. 그러나 카스퍼스키 랩의 바이러스 분석 전문가에 의해 실시된 심층 분석에 따르면, 이 팀들은 초기 개발 단계에서 적어도 한 번은 서로 협력한 사실이 드러났습니다.


간략한 소개

- 카스퍼스키 랩은 “리소스 207”로 알려진 스턱스넷의 2009년 초기 버전의 모듈이 사실 플레임 플러그인이었다는 것을 발견했습니다.

- 이것은 스턱스넷 웜이 2009년 초에 만들어졌을 때 플레임 플랫폼이 이미 존재했고, 2009년에 적어도 하나의 플레임 모듈 소스 코드가 스턱스넷에 사용되었다는 것을 의미합니다.

- 이 모듈은 USB 드라이브를 통한 바이러스 전파에 사용되었습니다. USB 드라이브 감염 메커니즘 코드는 플레임과 스턱스넷에서 동일합니다.

- 또한, 스턱스넷에 사용된 플레임 모듈은 그 당시에 알려진 MS09-025 권한 상승 취약점을 악용하였습니다.

- 2010년부터 이 두 개발 팀은 새로운 “제로-데이” 취약점에 대한 노하우를 공유한 것으로 의심되며, 서로 독립적으로 개발을 진행했습니다.


배경

스턱스넷은 산업 시설을 대상으로 하는 첫 번째 사이버 무기였습니다. 사실 가장 먼저 알려진 스턱스넷은 발견되기 1년 전에 이미 만들어졌지만, 전세계적으로 일반 PC가 감염된 2010년 6월에 비로소 발견되었습니다. 이후 듀쿠로 알려진 사이버 무기는 2011년 9월에 발견되었습니다. 스턱스넷과 달리, 듀쿠의 주된 작업은 감염된 시스템에 백도어를 만들어 개인 정보(사이버 스파이)를 훔치는 것입니다.

듀쿠를 분석하는 동안, 스턱스넷과의 강한 유사성이 발견되었습니다. 두 사이버 무기는 동일한 공격 플랫폼을 사용하여 만들어진 것으로 나타났습니다. 그 이름은 파일 이름을 “~d*.*” 형태로 만드는 악성 코드 개발자의 선호에서 유래되어 “Tilde-d”입니다.

UN 산하 국제전기통신연합(ITU)의 요청에 의해 카스퍼스키 랩이 진행한 분석에서 2012년 5월에 발견된 플레임 악성 프로그램은 이전 사이버 무기와 완전히 달랐습니다. LUA 프로그래밍 언어와 그것의 다양한 기능 사용, 악성 프로그램의 크기 등이 플레임이 듀쿠 또는 스턱스넷의 개발자와 연관되었다는 것을 찾을 수 없었습니다. 그러나 추가로 진행된 심층 분석에서 스턱스넷의 개발 기원을 다시 만들었고, 스턱스넷에서 사용된 “Tilded” 플랫폼이 플레임 플랫폼과 연관이 있다는 것을 의심 없이 증명합니다.


새로운 분석 결과

스턱스넷의 최초 알려진 버전은 2009년 6월로 추정되었으며, “리소스 207”이라고 알려진 특수 모듈을 포함하고 있습니다. 스턱스넷의 2010년 버전에서는 이 모듈이 모두 제거되었습니다. “리소스 207” 모듈은 암호화된 DLL 파일이며 “atmpsvcn.ocx”라는 351,768 bytes 크기의 실행 파일이 포함되어 있었습니다. 이 파일은 현재 카스퍼스키 랩의 분석에 의해 드러났고, 플레임에 사용되는 코드와 공통점이 많이 있습니다. 눈에 띄는 유사성 항목은 상호 배타적인 개체의 이름, 해독 문자열에 사용되는 알고리즘, 그리고 파일 명을 만드는 유사한 방법입니다.

또한, 사용된 코드의 대부분 섹션이 스턱스넷과 플레임 모듈에서 동일하거나 유사한 것으로 나타납니다. 이것은 플레임과 듀쿠/스턱스넷 팀들 간의 교류가 소스 코드 형태(바이너리 형태가 아니라)로 이뤄졌다는 결론에 이릅니다. 스턱스넷의 주요 기능인 “리소스 207” 모듈은 한 컴퓨터에서 다른 컴퓨터로 이동식 USB 드라이브를 이용하여 감염되고, 시스템 내에서 권한 상승을 얻기 위해 윈도우 커널 취약점을 악용하는 것이었습니다. USB 드라이브를 사용하여 악성 프로그램을 배포하는 코드는 플레임에서 사용된 것과 완벽하게 동일합니다.

카스퍼스키 랩의 수석 보안 전문가, 알렉산더 고스테프는 “플레임과 Tilded가 서로 연관이 있다는 새로 발견된 사실에도 불구하고, 우리는 이들이 각각 여러 사이버 무기를 개발하기 위해 사용되는 서로 다른 플랫폼임을 확신합니다. 이들은 시스템을 감염시키고 기본 작업을 실행하는데 사용된 자신만의 독특한 기술을 가진 상이한 아키텍처를 가지고 있습니다. 하지만 그 팀들이 개발 초기 단계에서 적어도 하나의 모듈 소스 코드를 공유한 것을 밝혀낸 이번 조사는 이들 그룹들이 적어도 한 번은 서로 협력한 것임을 증명합니다. 우리가 발견한 것은 스턱스넷/듀쿠와 플레임 사이버 무기가 관련이 있다는 매우 강력한 증거입니다.”라고 말했습니다.

한편, 플레임과 관련된 보다 상세한 분석 자료는 Securelist.com(카스퍼스키랩 보안 정보 사이트)에서 찾을 수 있습니다.


12-06-14 10:55