북한과 연계된 APT 그룹인 비글보이즈는 지난 2월부터 활동을 강화해나갔다고 미국 CISA, 재무부, FBI, USCYBERCOM이 경고했다.

CISA(Cybersecurity and Infrastructure Security Agency)가 발표한 내용에 따르면 미국 재무부, 연방수사국(FBI), 사이버 사령부(USCYBERCOM)가 북한과 연계한 APT 그룹인 비글 보이즈(BeagleBoyz)가 2020년 2월부터 전 세계 은행을 대상으로 하고 있다고 전해졌다.

BeagleBoyz(일명 라자루스, APT38, 블루노로프)는 히든코브라의 하위 집단으로, 2014년부터 활동이 급증하기 시작했으며 회원들은 대부분의 공격에 맞춤형 멀웨어를 사용했다. 이들은 최소 2009년 또는 2007년 부터 활동해왔으며 데이터 파괴 및 시스템 중단을 목표로 사이버 스파이 활동과 사보타지 활동에 모두 참여했다.

이들은 대규모 워너크라이 랜섬웨어 공격, 2016년 SWIFT 공격, 소니 픽처스 해킹, 은행 ATM 공격 및 여러 암호화폐 거래소에 대한 공격을 진행한 것으로 알려졌다.

한 편, CISA 보고서에는 “북한 정보기관은 원격 인터넷 접속을 통해 은행을 탈취하는 해킹 팀을 제어하고 있다. 다른 북한의 악의적인 사이버 활동과 구별하기 위해 미국 정부를 이 팀을 히든 코브라 활동의 일부로서 ‘비글보이즈(BeagleBoyz)’로 명명하기로 했다. 비글 보이즈의 은행 탈취는 복구 비용으로 인한 재정적 손실, 평판 손상 등을 넘어 개별 기업에 심각한 운영 위험을 초래한다. 추산해보면 이들은 적어도 2015년부터 거의 20억 달러를 탈취하고자 했다. 또한 이들은 은행 및 기타 금융 기관의 주요 컴퓨터 시스템을 조작하고 작동하지 않게 만들기도 했다.”라고 명시돼있다.

전문가들에 따르면 비글보이즈는 종종 피해 기관의 컴퓨터 네트워크에 파괴적인 안티 포렌식 도구를 남겨둔다고 한다. 2018년 비글보이즈가 칠레의 Banco de Chile 은행에 대한 공격 당시 발견된 바 있다.

또한 비글 보이즈는 한 번의 침입으로 30개 국의 은행에서 ATM 현금 인출을 수행했다. 당시 미국을 포함한 전세계 여러 국가의 다양한 은행이 운영하는 ATM 기기를 대상으로 했다.

이들의 무기고에는 윈도우 서버를 대상으로 개발된 맞춤형 멀웨어가 있으며, 은행 간 결제 프로세서를 대상으로 하는 멀웨어도 개발되어 있다.

[출처 : SecurityAffairs / 2020.08.29.]