이퀘이젼 그룹의 해킹 공격과 관련된 서버 주소...한국이 TOP 3
언어 분석 결과, “쉐도우 브로커스는 영어 못하는 척하는 네이티브”
[보안뉴스 문가용 기자] NSA를 해킹했다고 주장하고 있는 쉐도우 브로커스(Shadow Brokers)가 NSA와 연결되어 있다는 의혹을 받고 있는 이퀘이젼 그룹(Equation Group)에 대한 자료를 추가로 공개했다.
.jpg)
먼저 쉐도우 브로커스는 8월 중순에 등장한 정체불명의 해킹 단체로 방화벽 익스플로잇과 임플란트를 300MB나 공개하며, 이퀘이전 그룹의 서버에서 나온 것이라고 주장했다. 해당 데이터를 분석한 결과 익스플로잇 대부분 오래된 것이나, 여전히 몇몇 방화벽에 통한다는 사실이 드러났고 덕분에 새로운 취약점을 보완하는 고마운 일까지 벌어졌다.
쉐도우 브로커스는 이 300MB 자료를 공개하며 ‘훨씬 더 많은 자료를 가지고 있으며 구매의사가 있는 사람들을 위하여 경매에 올린다’고 발표했다. 그러나 생각보다 결과가 좋지 않아서 얼마 전 1만 비트코인을 ‘크라우드펀딩’하는 데에 성공하면 해당 자료를 누구나 볼 수 있게 공개한다고 전략을 바꿨다. 하지만 여태까지 모인 크라우드펀드는 2 비트코인 정도다.
이런 상황에서 쉐도우 브로커스는 현지 시각으로 월요일 새로운 파일들을 공개했다. 그러면서 이 파일들에 들어있는 IP 주소들이, 이퀘이젼 그룹이 과거에 각종 네트워크를 공격하는 데에 사용했던 시스템의 주소들이라고 주장했다. 즉, NSA가 정말로 타 서버를 공격했다는 증거자료 비스무리한 걸 제시한 것.
이에 일부 보안 전문가들이 데이터를 분석했다. 무스타파 알바삼(Mustafa Al-Bassam)이라는 전문가는 “이퀘이젼 그룹에 의해 공격당한 서버 주소 혹은 이퀘이젼 그룹이 공격의 발판으로 삼은 서버 주소인 듯 하다”고 자신의 의견을 밝혔다. 하지만 일부 전문가들은 공격이 2000년과 2010년 사이에 일어났으므로 이 IP 주소는 이미 쓸모가 없는 자료라고 주장했다.
해커 하우스(Hacker House)라는 보안 업체는 이에 “아직도 여전히 살아있는 호스트들이 있다”며 “심지어 일부 호스트에서는 지난 번에 쉐도우 브로커스가 공개한 툴들이 사용되고 있었다”고 발표했다. 보안 전문 매체인 시큐리티위크(Security Week)는 해커 하우스의 말을 인용하며 DEWDROP, INCISION, JACKLADDER, ORANGUTAN, PATCHICILLIN, RETICULUM, SIDETRACK, STOICSURGEON 등의 툴 이름을 공개했다.
해커 하우스는 352개의 IP 주소와 306개의 도메인 이름을 추출해내는 데 성공했다고 한다. 여기에는 32개의 .edu와 9개의 .gov 도메인이 포함되며, 출처는 49개 국가인 것으로 알려졌다. 특히 아태지역의 국가들이 많았으며 최상위 10개국은 순서대로 중국, 일본, 한국, 스페인, 독일, 인도, 대만, 멕시코, 이탈리아, 러시아라고 한다.
한편 쉐도우 브로커스는 최근 다가오는 미국 대선을 언급하기도 했다. 해킹이나 물리적인 폭력 행위를 통해 선거를 방해하라는 메시지를 전달한 것. 쉐도우 브로커스는 자신들의 궁극적인 목적은 돈이라고 계속해서 강조하고 있지만, 구매자들의 반응도 시큰둥하고 전문가들 역시 ‘그만한 값어치가 있는 자료는 아니’라는 의견이 대부분이다. 오히려 돈이 목적이라고 하는 이들의 은근하기도 하고 직접적이기도 한 정치적 메시지가 아직까지는 더 눈에 띄고 있는 상황.
아직도 쉐도우 브로커스의 정체에 대해서는 밝혀진 바가 없다. 러시아 정부, NSA 내부자, 운 좋게 데이터를 찾아낸 해커라는 이론이 대두되고 있다. 또한 이들의 서투른 영어를 분석한 사이버 보안 업체인 타이아 글로벌(Taia Global)은 “영어를 모국어로 하고 있는 자가 영어 못하는 척 하는 것”이라는 결과를 내놓기도 했다.
[국제부 문가용 기자(globoan@boannews.com)]
언어 분석 결과, “쉐도우 브로커스는 영어 못하는 척하는 네이티브”
[보안뉴스 문가용 기자] NSA를 해킹했다고 주장하고 있는 쉐도우 브로커스(Shadow Brokers)가 NSA와 연결되어 있다는 의혹을 받고 있는 이퀘이젼 그룹(Equation Group)에 대한 자료를 추가로 공개했다.
먼저 쉐도우 브로커스는 8월 중순에 등장한 정체불명의 해킹 단체로 방화벽 익스플로잇과 임플란트를 300MB나 공개하며, 이퀘이전 그룹의 서버에서 나온 것이라고 주장했다. 해당 데이터를 분석한 결과 익스플로잇 대부분 오래된 것이나, 여전히 몇몇 방화벽에 통한다는 사실이 드러났고 덕분에 새로운 취약점을 보완하는 고마운 일까지 벌어졌다.
쉐도우 브로커스는 이 300MB 자료를 공개하며 ‘훨씬 더 많은 자료를 가지고 있으며 구매의사가 있는 사람들을 위하여 경매에 올린다’고 발표했다. 그러나 생각보다 결과가 좋지 않아서 얼마 전 1만 비트코인을 ‘크라우드펀딩’하는 데에 성공하면 해당 자료를 누구나 볼 수 있게 공개한다고 전략을 바꿨다. 하지만 여태까지 모인 크라우드펀드는 2 비트코인 정도다.
이런 상황에서 쉐도우 브로커스는 현지 시각으로 월요일 새로운 파일들을 공개했다. 그러면서 이 파일들에 들어있는 IP 주소들이, 이퀘이젼 그룹이 과거에 각종 네트워크를 공격하는 데에 사용했던 시스템의 주소들이라고 주장했다. 즉, NSA가 정말로 타 서버를 공격했다는 증거자료 비스무리한 걸 제시한 것.
이에 일부 보안 전문가들이 데이터를 분석했다. 무스타파 알바삼(Mustafa Al-Bassam)이라는 전문가는 “이퀘이젼 그룹에 의해 공격당한 서버 주소 혹은 이퀘이젼 그룹이 공격의 발판으로 삼은 서버 주소인 듯 하다”고 자신의 의견을 밝혔다. 하지만 일부 전문가들은 공격이 2000년과 2010년 사이에 일어났으므로 이 IP 주소는 이미 쓸모가 없는 자료라고 주장했다.
해커 하우스(Hacker House)라는 보안 업체는 이에 “아직도 여전히 살아있는 호스트들이 있다”며 “심지어 일부 호스트에서는 지난 번에 쉐도우 브로커스가 공개한 툴들이 사용되고 있었다”고 발표했다. 보안 전문 매체인 시큐리티위크(Security Week)는 해커 하우스의 말을 인용하며 DEWDROP, INCISION, JACKLADDER, ORANGUTAN, PATCHICILLIN, RETICULUM, SIDETRACK, STOICSURGEON 등의 툴 이름을 공개했다.
해커 하우스는 352개의 IP 주소와 306개의 도메인 이름을 추출해내는 데 성공했다고 한다. 여기에는 32개의 .edu와 9개의 .gov 도메인이 포함되며, 출처는 49개 국가인 것으로 알려졌다. 특히 아태지역의 국가들이 많았으며 최상위 10개국은 순서대로 중국, 일본, 한국, 스페인, 독일, 인도, 대만, 멕시코, 이탈리아, 러시아라고 한다.
한편 쉐도우 브로커스는 최근 다가오는 미국 대선을 언급하기도 했다. 해킹이나 물리적인 폭력 행위를 통해 선거를 방해하라는 메시지를 전달한 것. 쉐도우 브로커스는 자신들의 궁극적인 목적은 돈이라고 계속해서 강조하고 있지만, 구매자들의 반응도 시큰둥하고 전문가들 역시 ‘그만한 값어치가 있는 자료는 아니’라는 의견이 대부분이다. 오히려 돈이 목적이라고 하는 이들의 은근하기도 하고 직접적이기도 한 정치적 메시지가 아직까지는 더 눈에 띄고 있는 상황.
아직도 쉐도우 브로커스의 정체에 대해서는 밝혀진 바가 없다. 러시아 정부, NSA 내부자, 운 좋게 데이터를 찾아낸 해커라는 이론이 대두되고 있다. 또한 이들의 서투른 영어를 분석한 사이버 보안 업체인 타이아 글로벌(Taia Global)은 “영어를 모국어로 하고 있는 자가 영어 못하는 척 하는 것”이라는 결과를 내놓기도 했다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
