RCS 기능에는 대상 장치에서 파일을 추출하고 전자 메일 및 인스턴트 메시지를 차단하고 웹캠과 마이크를 원격으로 활성화하는 기능이 포함된다.
이것들은 해킹팀 소스코드 유출 이전에 발표된 변종에 비해 약간 수정된 것들이다. 블로그를 통해 연구원은 잘못된 속성을 방지하기 위해 국가 이름을 지정하지는 않았지만, 최근 발견된 멀웨어는 실제로 해킹팀 개발자의 작품이며 관계없는 공격자가 소스코드를 재사용한 결과물로 보이지는 않는다고 밝혔다.
과거 유출사건 이후 업데이트의 변경 내용은 해킹팀의 자체 코딩 스타일에 따라 만들어졌으며, 새로운 버전이 다른 행위자가 만들지 않았다는 것이 코드의 깊은 부분에 나타나있다. 연구자들은 원래 해킹팀 개발자가 아닌 다른 사람이 누출된 해킹팀 소스코드로 새로운 버전을 만들어낼 때 위치를 정확히 변경한다는 것은 가능성이 거의 없다고 설명한다.
이 샘플은 2015년 9월에서 2017년 10월 사이에 컴파일 된 것으로 원격 데이터를 근거로 본격적으로 실제 샘플이 출현했음을 나타낸다고 연구원은 말했다.
연구원은 "이것을 뒷받침하는 하나의 지표는 샘플에 서명하는데 사용된 디지털 인증서의 순서다. 우리는 연속으로 발행된 6개의 다른 인증서를 발견했다. Thawte에서 발행된 4개의 인증서가 4개의 다른 회사에 발행되었고, 2가지는 발레리아노 베데스키(ValerianoBedeschi, 해킹팀 공동 설립자)와 라파엘 카나치나(RaffaeleCarnacina)라는 사람에게 발행된 개인인증서다"라고 밝혔다.
이 스파이웨어는 또한 Advanced SystemCare 9(9.3.0.1121), Toolwiz Care 3.1.0.0, SlimDriver(2.3.1.10)와 같은 일반적인 응용프로그램으로 가장하기 위해 Manifest 메타데이터를 위조했다.
트립와이어(Tripwire)의 컴퓨터 보안 연구원인 크레이그 영(Craig Young)은 해킹팀이 새로운 것을 시작하기보다는 RCS를 계속 개발할 것이라고 말했다.
이 연구원은 "해킹팀이 해킹을 당해 자신들의 코드가 유출된 이후에도 여전히 고객 기반을 확보하고 있다는 것은 상당히 놀라운 일이다. 해킹팀 멀웨어는 사법기관 및 정보 수집 작업을 목적으로 한다는 점에서 독특한 위치에 있다"라고 설명했다.
그는 사법기관과 정보 기관이 범죄자들과 같은 전술을 사용하는 경우가 있다는 사실을 사람들이 알고 있다는 것 역시 흥미로운 일이라고 덧붙였다.
★정보보안 대표 미디어 데일리시큐!★
