러시아 정부와 연계된 것으로 추정되는 해커 조직이 신종 해킹 도구를 이용해 우크라이나의 아이폰 사용자들을 공격, 개인정보를 훔친 것으로 나타났다.
18일(현지시간) IT 전문매체 테크크런치에 따르면 구글과 보안업체 아이베리파이(iVerify), 룩아웃(Lookout) 소속 연구원들은 'UNC6353'으로 명명된 해커 조직이 벌인 사이버 공격을 분석했다. 이들은 해커들이 '다크소드'(Darksword)라는 해킹 툴킷을 사용했다고 밝혔다.
다크소드는 비밀번호, 사진, 왓츠앱·텔레그램 메시지, 웹 브라우저 기록 등 개인정보를 탈취하도록 설계됐다. 특히 지속적인 감시가 아닌, 기기를 감염시킨 뒤 정보를 훔쳐 빠르게 사라지는 '치고 빠지기'식 공격에 특화된 것으로 분석됐다.
룩아웃은 "기기 내 체류 시간은 수 분에 불과할 것"이라고 설명했다.
이 툴킷은 암호화폐 지갑 앱에서 자산을 훔치는 기능도 포함했다. 이는 정부 지원 해킹 조직에서는 이례적인 특징이다. 룩아웃은 보고서에서 "해당 위협 행위자가 재정적 동기를 가졌거나, 러시아와 연계된 활동이 모바일 기기를 대상으로 한 금융 절도까지 확장됐음을 시사할 수 있다"고 분석했다.
이번 공격은 앞서 발견된 아이폰 해킹 툴킷 '코루나'(Coruna)와 연관된 것으로 파악됐다. 코루나는 미국 방산업체 L3해리스가 개발한 것으로, 이후 러시아 스파이 등에게 유출돼 사용된 바 있다. 연구원들은 다크소드가 코루나와 다른 취약점을 이용한다고 밝혔다.
공격 대상은 특정 인물이 아닌, 우크라이나 내에서 특정 웹사이트에 접속하는 모든 아이폰 사용자였던 것으로 드러났다. 아이베리파이의 공동창업자 록키 콜은 이번 공격이 특정 대상을 정밀하게 노린 캠페인은 아니었다고 설명했다.
룩아웃의 저스틴 알브레히트 수석 보안 연구원은 테크크런치에 "UNC6353은 러시아 정보기관의 요구에 맞춰 금융 이득과 첩보 활동을 위해 공격을 수행하는 자금력이 풍부한 조직"이라고 말했다. 그는 "금융 절도와 정보 수집이라는 이중 목표를 고려할 때 러시아의 '범죄 대리인'일 가능성이 있다"고 덧붙였다.