매의 눈으로 잡아 낸 이란의 방첩 활동(Counterintelligence Operation)

* 해당 블로그의 원문은 2024년 8월 29일 Google Cloud 블로그(영문)에 게재되었습니다. 

작성자: Ofir Rozmann, Asli Koksal, Sarah Bock

맨디언트는 이란과 연관된 것으로 의심되는 방첩 작전(Counterintelligence Operation)에 대한 세부 정보를 공개하였습니다. 참고로 방첩 작전이란 자국의 기밀 정보가 외부로 유출되는 것을 막고, 적의 첩보 활동을 방해하는 것을 말합니다.​

맨디언트가 정보를 공개한 방첩 작전은 이스라엘을 비롯한 해외 정보 및 보안 기관과 협력할 가능성이 있는 이란인들과 이란 내부의 안정을 해칠 수 있는 위협 요소들에 대한 데이터를 수집하는 것을 목표로 하고 있습니다. 이 캠페인을 통해 수집된 데이터는 이란 정보 기관이 이란의 적대국가와 협력하는 개인들을 찾아내는 데 쓰일 수 있습니다. 또한, 이 데이터는 이란에 대한 휴민트(HUMINT, Human Intelligence) 작전을 파악하고, 이러한 작전에 관여한 것으로 의심되는 이란인들을 탄압하는 데 활용될 수 있습니다. 여기에는 이란의 반체제 인사, 활동가, 인권 옹호자, 그리고 이란 안팎에 거주하는 페르시아어를 모국어로 사용하는 이들이 포함될 수 있습니다.

맨디언트는 이 캠페인의 전술, 기법, 절차(TTP), 주제, 그리고 표적이 된 대상들을 근거로 이 캠페인이 이란 정권이 막후에서 주도해 운영했을 가능성이 높다고 평가합니다. 또한, 이 캠페인과 이란의 IRGC 정보 조직(IRGC-IO)을 대리해 활동하는 것으로 의심되는 이란 연계 위협 행위자 APT42 사이에 약간의 유사성이 관찰되었습니다. 이 캠페인의 활동은 이란 IRGC와 APT42가 국내 위협 요소와 이란 정부가 관심을 가지는 개인들을 대상으로 감시를 수행해 온 것과 일치합니다. APT42와의 연관성에도 불구하고, 맨디언트는 이 활동과 구글의 위협 분석 그룹이 이전에 보고한 미국 선거 관련 표적 활동 사이에 아무런 관련이 없음을 확인했습니다.

이번 활동은 여러 소셜 미디어 계정을 사용하여 35개 이상의 가짜 채용 웹사이트 네트워크를 통해 이루어졌습니다. 가짜 채용 웹사이트들에는 직업 제안 및 이스라엘 관련 미끼가 게시되었습니다. 예를 들어 이스라엘 국가 상징, 하이테크 사무실, 주요 도시 랜드마크 이미지와 같은 방대한 페르시아어 위장 컨텐츠가 포함되어 있었습니다. 표적이 된 사용자들은 웹사이트 이용 시 개인 정보뿐만 아니라 직업과 학업 경력까지 입력해야 합니다. 이렇게 수집된 민감한 정보는 곧바로 공격자들의 손에 들어갑니다.

이 방첩 작전은 최소한 2017년부터 시작되었으며, 2024년 3월까지 이어졌습니다. 과거에 유사한 캠페인들이 아랍어로 전개되었으며, 시리아와 헤즈볼라의 정보 및 보안 기관과 연관된 개인들을 대상으로 했습니다. 이는 이란의 방첩 활동이 자국의 정보 및 보안 기관을 넘어, 시리아와 레바논에 있는 동맹국들을 지원하기 위한 활동일 가능성을 시사합니다.

맨디언트는 이 활동이 차단되고 중단되도록 돕기 위해 노력했으며, 위협 행위자의 계정이 종료되게 하였고, 구글 크롬 사용자 및 다른 브라우저 사용자들이 보호받을 수 있도록 조치를 취했습니다.

공격 라이프사이클

Step 1: 가짜 채용 웹사이트로 연결되는 링크 배포

맨디언트는 여러 가짜 소셜 미디어 계정이 다양한 소셜 플랫폼, 예를 들어 이란인들이 널리 사용하는 X(구 Twitter)와 Virasty에서 해당 웹사이트를 홍보하고 있음을 확인했습니다.

다음은 악성 웹사이트 topwor4u[.]com으로 연결되는 링크가 포함된 X 게시물이며, 페르시아어를 한글로 번역하면 다음과 같습니다.

“지난 해 우리는 수백 명의 정보 및 사이버 전문가를 유치하여 글로벌 차원에서 독보적인 성공을 이뤄냈습니다. 정보 및 사이버 관련 경력이 있다면 우리와 함께 하세요."

Step 2: 이스라엘 관련 미끼 컨텐츠를 제공하는 가짜 채용 웹사이트

사용자가 웹사이트에 접속하면, 가짜 인사 관리 회사의 가정된 목적이 다음과 같이 제시됩니다. “이란의 정보 및 보안 조직의 직원과 장교를 모집한다.”

• 가짜 채용 웹사이트들은 “Optima HR” 또는 “Kandovan HR”과 같은 인사 관리 회사로 가장하여 유사한 템플릿과 컨텐츠를 공유합니다.
• 이 웹사이트들은 전 세계에서 활동하는 “국제 정보 및 보안/사이버 컨설팅 및 연구 분야에서 활동하는” 인사 관리 회사로 소개하는 상세한 설명을 페르시아어로 담고 있습니다.
• The websites contain a Farsi description of the “Terms of Cooperation” with the fake HR firm:

“

관련 기관과 조직에서 정보 및 사이버 분야에서 문서화된 경력과 이력서를 소지한 경우(필수).

귀하의 개인정보 보호가 우리의 우선 과제입니다.

선정된 자에게는 우수한 급여가 제공됩니다.

우리 센터는 귀하가 직무 제안을 제출하고 특별하고 독창적인 프로젝트를 받을 수 있도록 저희와 연락할 것을 권장합니다!!

세상에 영향을 미치기 위해 함께 합류하세요.

우리의 임무는 귀하의 개인정보를 보호하는 것입니다.”

• 이 웹사이트들은 텔레그램 연락 링크를 포함하고 있으며, “IL” (이스라엘)을 참조하는 핸들을 사용하여 캠페인의 이스라엘 연관성을 더욱 강화하고 있습니다. 예를 들면 다음과 같습니다.

hxxps://t[.]me/PhantomIL13

hxxps://t[.]me/getDmIL 

• 또한, 여러 가짜 채용 웹사이트에는 텔레그램 채팅에 참여할 수 있는 링크가 포함되어 있었습니다

hxxps://t[.]me/joinchat/AAAAAFgDeSXaWr2r_AQImw

• beparas[.]com 도메인 추가 검토 과정에서 이 웹사이트의 워드프레스 사용자 데이터가 공개적으로 이용 가능하며, 사용자 이름 “miladix”와 이 사용자의 Gravatar URL이 나열되어 있음을 확인했습니다(그림 6). Gravatar 문서에 따르면, Gravatar URL에 포함된 "b7e2f4a5bc67256189e6732fbce86520" 값은 사용자의 이메일에 해당하는 Sha256 값입니다.
• 닉네임 "Miladix"는 이 캠페인에 사용된 X 계정 “Milad Azadi”와 관련이 있을 수 있으며, 이 이름은 이전에 언급된 바 있습니다. 또한, "Milad"는 페르시아어 이름으로, 이 캠페인이 이란과 연관되어 있음을 더욱 강하게 시사합니다.
• 맨디언트는 ​이란의 소프트웨어 개발자와 관련된 miladix[.]com 도메인을 관찰했으나, 이 캠페인과 miladix[.]com 또는 그 운영자 간의 연결 고리는 없었습니다.

Step 3: 표적 사용자가 양식을 작성하고, 개인 및 직업 정보가 공격자에게 전송됨

"저항의 축": 시리아와 헤즈볼라를 겨냥한 과거 작전

가짜 "Optima HR" 웹사이트를 면밀히 조사한 결과, 페르시아어 사용자와 시리아 및 레바논(헤즈볼라)과 관련된 아랍어 사용자를 대상으로 한 이전의 가짜 채용 웹사이트 네트워크가 밝혀졌습니다. 이 네트워크는 "VIP Human Solutions"라는 다른 인사 관리 회사로 가장하고 있었습니다.

"VIP Human Solutions" 웹사이트는 이스라엘과 관련된 미끼 콘텐츠를 사용하여 보안 및 정보 관련 직업을 모집하는 것처럼 매우 유사한 이미지와 주제를 사용했습니다(그림 8).

"VIP Human Solutions" 웹사이트의 콘텐츠, 템플릿, 개인 정보 양식은 "Optima HR" 웹사이트와 거의 동일합니다. 헤드라인을 한글로 번역하면 다음과 같습니다.

"VIP 직업 선택은 이란의 보안 및 정보 기관의 존경받는 인력과 직원을 모집하는 센터입니다."

• 맨디언트는 최소한 2021년부터 활성화된 텔레그램 그룹 채팅이 두 클러스터에서 사용되고 있음을 관찰했습니다.

hxxps://t[.]me/joinchat/AAAAAFgDeSXaWr2r_AQImw

• 같은 링크가 여러 "VIP Human Solutions" 웹사이트에 포함되어 있었으며, 때때로 이스라엘 (+972) 전화번호와 추가 텔레그램 계정과 함께 제공되었습니다.

hxxps://t[.]me/DreamyJobs_com
hxxps://t[.]me/wazayif_IL
“wazayif” is the English transcription of the word “jobs” in Arabic (وظايف)

"wazayif"는 아랍어로 "직업(وظايف)"이라는 단어의 영어 표기입니다.

"VIP Human Solutions" 채용 웹사이트는 최소한 2018년부터 2023년까지 사용된 것으로 보입니다. 페르시아어 웹사이트 외에도 이 클러스터는 유사한 템플릿을 사용한 아랍어 웹사이트도 운영했습니다.

아랍어 웹사이트 제목을 한글로 번역하면 다음과 같습니다.

"VIP 채용, 시리아 및 레바논 헤즈볼라의 군, 보안 서비스 및 정보 기관에서 존경받는 군사를 모집하는 센터입니다."

맨디언트는 2023년에 동일한 웹사이트의 또 다른 버전을 관찰했으며, 여기에는 아랍어로 "Loren Ipsum" 더미 텍스트가 포함되어 있어, 해당 웹사이트의 업데이트된 버전이 아직 운영 중이지 않았을 가능성이 있음을 나타냅니다. 이 템플릿에는 시리아 국기와 지도, 이스라엘 전화번호(+972), 그리고 텔레그램 연락 링크가 포함되어 있습니다(hxxps://t[.]me/DreamyJobs_com).

이 비디오에는 다음과 같은 연락처 정보도 포함되어 있습니다.

• 이메일 주소: sendcv@vipjobsglobal[.]com. 이 도메인 vipjobsglobal[.]com은 2018년 3월에 등록되었습니다.

• Facebook 페이지: hxxps://facebook[.]com/358690841262928, 이 페이지는 2017년 12월에 운영을 시작했으며 더 이상 활성화되지 않았습니다.

다음 표는 이전 섹션에서 설명한 새로운 활동과 과거 활동을 비교합니다.

전망

맨디언트는 이번에 정보를 공개한 활동이 이란의 방첩 노력을 지원하여 정보 및 보안 기관과 관련이 있거나 그러한 기관에서 일하기를 원하는 개인들을 식별하는 데 기여한다고 평가합니다.

특히, 이번 포스팅에서 설명된 활동은 이란이 적대국으로 간주할 수 있는 국가들과 협력하고 있다고 의심되는 이란인들에게 우려를 끼칠 수 있습니다. 이에는 이란의 반체제 인사, 활동가, 인권 옹호자, 그리고 이란 안팎에 거주하는 페르시아어 사용자들이 포함될 수 있습니다.

이 캠페인은 여러 소셜 미디어 플랫폼에서 가짜 인사 관리 웹사이트를 알려 피해자를 유인합니다. 그리고 이렇게 수집한 정보로 이란 정권에 위협이 될 수 있는 정보 기관 및 보안 기관과 협력하는 페르시아어 사용자들을 색출하려 하였습니다. 이번에 수집된 데이터, 예를 들어 주소, 연락처 정보, 직업 및 학업 경력 등은 표적이 된 개인들을 대상으로 하는 미래 작전에서 활용될 수도 있습니다.

구글 클라우드 고객을 위한 추가 정보

구글 크로니클 엔터프라이즈 플러스(Google Chronicle Enterprise+_ 고객을 위해 룰이 Emerging Threats 룰팩에 추가되었으며, 이 블로그 게시물에 나열된 침해 지표는 Applied Threat Intelligence를 통해 우선 순위를 지정할 수 있습니다.

침해 지표 (IOCs)