인도 연계 해킹 대행 그룹, 중동-북아프리카 지역 언론인·활동가 표적 공격

Access Now, Lookout, SMEX의 보안 연구원들이 중동 및 북아프리카 전역의 언론인, 활동가, 정부 관리를 표적으로 삼는 해킹 대행 그룹을 확인했습니다. 해커들은 피싱 공격으로 iCloud 자격 증명을 탈취하고, 인기 메시징 앱으로 위장한 ProSpy라는 Android 스파이웨어를 배포했으며, Signal 계정 탈취를 시도했습니다. Lookout은 이 캠페인을 인도 정부와 연관된 것으로 의심되는 해킹 그룹 BITTER APT 및 해킹 대행 회사 RebSec과 연결지었습니다.

Key Points

• 1. 해킹 대행 그룹이 중동, 북아프리카, 그리고 잠재적으로 미국과 영국의 언론인, 활동가, 정부 관리를 표적으로 삼아왔습니다.
• 2. 공격자들은 피싱을 사용하여 Apple ID 자격 증명을 탈취하고 iCloud 백업에 접근하여 iPhone 내용 전체에 대한 접근권을 확보했습니다.
• 3. Android 사용자의 경우, Signal, WhatsApp, Zoom 및 지역 메시징 앱으로 위장한 ProSpy라는 스파이웨어를 배포했습니다.
• 4. Lookout은 이 캠페인을 인도 정부와 연관된 것으로 의심되는 BITTER APT 그룹과 연결하고, RebSec을 가능한 운영자로 확인했습니다.
• 5. 해커들은 또한 피해자가 공격자가 통제하는 기기를 추가하도록 속여 Signal 계정 탈취를 시도했습니다.
• 6. RebSec은 이후 소셜 미디어 계정과 웹사이트를 삭제했으며, 인도 대사관은 논평 요청에 응답하지 않았습니다.

Relevance

• 이 캠페인은 정부가 해킹 작업을 민간 기업에 외주하는 증가 추세를 보여주며, Pegasus 같은 상업용 스파이웨어보다 저렴한 대안을 제공합니다.
• 언론인과 활동가를 표적으로 삼는 것은 권위주의 지역에서 언론의 자유와 시민 사회에 대한 지속적인 위협을 강조합니다.
• 피싱과 가짜 앱 같은 비교적 단순한 기법의 사용은 효과적인 감시가 정교한 제로데이 익스플로잇을 필요로 하지 않음을 보여줍니다.

이번 해킹 대행 작전의 노출은 민간 기업이 정부에 시민 사회에 대한 디지털 첩보 활동의 합리적 부인권을 제공하는 번성하는 그림자 산업을 드러냅니다.