최근 맥아피가 국내 해킹 사건에 대한 백서를 내놨다.
일단 중요한 부분만 보고 나중에 숙독.
무려 4년간 우린 누가 해킹을 하고 있는 몰랐지만 2개의 동일 그룹의 소행. 4년간 털리고 올해 또 털린 것.
대충 백서를 해석해보면 다음과 같음.
* 공격 타임 라인.
1. 리모트 액세스 트로이 목마는 2013년 1월 26일자로 컴파일.
2. 하드디스크의 MBR(마스터 부트 레코드)을 지우는 코드는 2013년 1월 31일자로 컴파일.
3. 공격전에 초기 대상에 피싱으로 리모트 액세스 트로이 목마를 감염.
4. 드롭퍼웜은 20일 사건 당일 한시간 전에 컴파일됨.
5. 드롭퍼웜은 수 분내에 회사 내 조직으로 퍼졌고 MBR(마스터 부트 레코드)가 삭제.
* 공격자가 확실히 누구인지는 불확실. 하지만 두 그룹이 분석을 통해 드러남.
1. NewRomanic Cyber Army Team : MBR을 날려버리는 트로이 목마를 제작한 것으로 보이는 문자열이 곳곳에서 발견. 노컷뉴스의 팝업 등에서 같은 문자열이 발견.
2. The Whois Hacking Team : LG U+를 망가뜨린 그룹. 위 그룹의 트로이 목마와 다르게 행동하지만 같은 MBR을 삭제하는 같은 트로이 목마가 사용된 것으로 보임.
* 이 트로이 목마는 MBR을 삭제하는 것 이외에 개인 정보를 탈취하는 기능을 내장. 금융기관 해킹뒤에 팝업의 메시지로 개인정보를 탈취했음을 알리기도 함. 2011년 공격은 DoS를 일으키기도 함.
* 2009-2013 군부대 공격
- Dark Seoul공격과 연관.
- 군부대 전산망의 데이터를 수집하여 Microsoft의 RSA 128-bit 암호화 API 로 암호화하여 통신.
- 컴퓨터의 자주 찾는 문서를 모니터링하고 패스워드와 레지스트리 정보를 수집.
- 자주쓰는 문서가 있는 디렉토리를 열람할 수 있었고 훔친 파일들은 HTTP로된 암호화된 채널로 서버로 전송.
- 영문과 한글 키워드를 검색하는 함수를 가지고 있었음.
- 훔친 파일들은 암호가 걸린 파일로 압축되어서 서버로 전송. 모두 같은 암호가 사용.
한참을 털러도 몰랐다니;
