10대 소년들로 구성된 최악의 해커 집단 「LAPSUS$」는 NVIDIA나 Microsoft를 어떻게 털었나?

 

Microsoft나 Uber, NVIDIA 등의 기업을 해킹해, Rockstar Games의 「그랜드 세프트 오토 VI(GTA6)」의 데이터를 유출한 것으로 알려진 해커 집단 「LAPSUS$」의 주요 멤버가 18세 소년이었다는 것이 판명되어, 「LAPSUS$」가 주로 10대 소년으로 구성된 그룹이었다는 것이 분명해졌습니다.

수사가 진행되고 재판이 진행되는 가운데, 이 「LAPSUS$」가 어떻게 대기업의 네트워크를 해킹하고 있었는지 조금씩 밝혀지고 있습니다.

LAPSUS$ teen hackers convicted of high-profile cyberattacks

Lapsus$ teen hackers convicted of high-profile cyberattacks

GTA 6 Leaker Hacked Rockstar With An Amazon Fire Stick In Hotel

GTA 6 Leaker Hacked Rockstar With Just An Amazon Fire Stick In A Hotel Room

GTA6의 데이터를 누출한 소년은 해커 집단 「LAPSUS$」의 주요 멤버로 지금까지 Uber나 NVIDIA 등에 사이버 공격을 가한 것으로 알려져 있습니다. 체포 및 기소된 소년은 LAPSUS$의 주요 멤버로, 체포되었을 당시 17세였습니다.

그랜드 세프트 오토 VI의 데이터를 유출시킨 17세 해커가 체포되다

또한, 이 체포된 소년 외에, 다른 17세 소년도 LAPSUS$의 주요 멤버로서 별건으로 체포되어 유죄 판결을 받고 있습니다. 

BBC에 따르면, 소년들은 2021년 7월에 온라인으로 알게 되어, 해커 집단으로서 활동을 시작했다고 합니다. 소년은 관계자로부터 지원을 받으며, 휴대전화 기업이나 통신 캐리어의 서버를 해킹, 데이터 파일에 액세스 해, 2021년 8월에 400만 달러(약 53억 원)를 요구했습니다. 이 금액은 지불되지 않았지만, 소년들은 데이터 파일에서 훔친 SIM 정보를 사용해 가상 통화 월렛으로부터 총액 10만 파운드(1억 6,700만 원)를 훔쳤습니다.

또한 LAPSUS$는 2021년 12월에 브라질 보건부에 랜섬웨어 공격을 걸어 브라질 국내 신형 코로나 바이러스 백신 접종 데이터 수백만 건을 훔친 것으로 밝혀졌습니다. LAPSUS$는 그 밖에도 경제성, 연방회계검사국, 고속도로경찰 등 연방정부조직에 사이버 공격을 실시하고 있으며, 나중에 브라질에 거주하는 LAPSUS$의 주요 멤버가 브라질 경찰에 의해 체포되었습니다.

2022년 1월에 소년은 한 번 체포되었지만 석방되었습니다. 그러나 소년들은 석방 직후인 2022년 2월에 NVIDIA의 네트워크에 무단으로 접근하여 기밀 데이터를 훔쳐 누출합니다. 소년들은 무단 접근을 하기 위해 불법으로 고용한 인물에게 직원인 척 시켜 NVIDIA의 로그인 정보를 입수하도록 지시하거나, 진짜 직원의 전화로 자정에 액세스 승인 요청을 요청하는 스팸 메일을 대량으로 보낸 것이 경찰 수사에 의해 밝혀졌습니다. 소년들은 훔친 데이터를 공개하겠다고 NVIDIA를 협박하여 돈을 요구했습니다.

또한 2022년 3월에는 Microsoft, Vodafone, Samsung 등의 네트워크에 액세스 하여 소스 코드를 도용하고 있습니다. 그 방법은 '소셜 엔지니어링(방문자를 속여 기밀 정보를 유출하거나 소프트웨어를 다운로드하게 하는 등 위험한 작업을 수행하게 하는 콘텐츠)'으로, Microsoft의 경우에는 '비밀번호를 훔치는 툴을 도입해 패스워드와 세션 토큰을 취득', '언더그라운드 범죄 포럼에서 자격 증명과 세션 토큰을 구입', 'Microsoft의 사원에게 보상을 지불해 인증 정보 액세스 권한 취득'하는 방법이 사용되었다고 합니다.

2022년 3월에 다시 체포되기 직전, 소년은 라이벌 해커에 의해 개인정보가 인터넷상에 노출되어 버립니다. 소셜 미디어에 소년과 그 가족의 연락처 및 사진이 공개되어 버렸기 때문에 신체의 안전을 지키기 위해 소년은 체포 후 호텔로 이송되었습니다. 덧붙여 경찰과 협력하면서 LAPSUS$를 쫓고 있던 사이버 시큐리티 전문가는, 소년의 개인정보가 폭로되기 전부터 소년의 신분을 특정하고 있었다고 합니다.

소년은 호텔에 보호되는 동안 인터넷 액세스가 금지되었습니다. 그러나 런던 시경이 호텔 방을 수색했을 당시, 소년이 사용하던 호텔 TV에 Amazon Fire TV Stick을 꼽아 사용한 것으로 밝혀졌고, 스마트폰과 키보드, 마우스가 발견되었습니다.

소년은 Amazon Fire TV Stick을 사용하여 호텔에서 클라우드 컴퓨팅 서비스에 침입하여 LAPSUS$의 다른 멤버와 협력하면서 Revolut, Uber, Microsoft, Rockstar Games 네트워크에 무단으로 액세스 했습니다. 게다가 Rockstar Games의 사내 Slack에 "나는 직원이 아니라 공격자다. GTA6의 데이터를 모두 다운로드했다. Telegram으로 연락을 하지 않으면 그 소스 코드를 공개하겠다."라고 투고했습니다. 사내 Slack에서 공격자가 직접 협박한 수법은 「가장 대담한 해킹」이라고도 보도되었습니다.

GTA6의 데이터는 실제로 영상 및 스크린샷 형태로 팬 포럼에 게시되며 Rockstar Games는 이것이 진짜임을 인정합니다.

개발 중인 '그랜드 세프트 오토 6'의 데이터가 해킹으로 유출, 개발 회사는 유출 데이터가 진짜라고 인정

2022년 9월에 호텔에서 부정 액세스를 하고 있던 소년이 재체포되어, 런던 시경이 LAPSUS$의 관계자로 보이는 7명을 체포한 것으로, LAPSUS$는 활동을 정지했습니다. 미국의 사이버 보안 · 사회 기반 안보청(CISA)은 LAPSUS$를 비롯한 10대 해커의 위협에 대항하기 위해서는 사이버 방어를 개선할 필요가 있다고 (PDF 파일 다운로드) 경고했습니다.

검찰 측의 주임 변호사인 케빈 배리 씨는 소년들이 "공격 상대에게 자신의 실력을 어필하고 싶은 청소년의 욕망"을 보여주었다고 말합니다.

해커는 자신이 저지른 죄를 공적으로 어필하기 위해 관련 포럼이나 Slack 등에 공격적인 메시지를 남기는 경우가 많습니다. 소년들은 정기적으로 자신들의 범죄를 공개적으로 어필하고, Telegram에 있는 LAPSUS$의 공식 어카운트상에서 영어와 포르투갈어를 사용하면서 피해자의 기업을 비웃고 있었다고 합니다. 덧붙여 BBC에 의하면, 소년의 아버지는 「아들은 컴퓨터의 취급이 매우 능숙하고, 많은 시간을 컴퓨터에 소비하고 있었습니다. 나는 그가 언제나 게임만 하고 있다고 생각했습니다」라고 말했습니다.