.jpg)
텔레그램·X 통해 참가자 모집... 공격 결과 공유로 ‘보상 시스템’ 작동
HTTP/2 악용·캐시 버스팅 등 다중 벡터 공격으로 보안 장비 우회
[보안뉴스 김형근 기자] 친러시아 성향 해커 조직 노네임057(16)이 우크라이나와 서방 국가 정부, 언론, 공공기관을 공격하기 위해 디도시아(DDoSia)라는 전용 도구를 사용하고 있는 것으로 파악됐다.
[자료: gettyimagesbank]
이 조직은 2022년 활동을 시작했다. 기술적 지식이 부족한 일반인들도 공격에 참여할 수 있도록 설계된 자발적 배포형 분산 서비스 거부(DDoS) 공격 플랫폼을 운영 중이다.
이들의 공격은 서방의 제재 발표나 군사 지원 소식 등 주요 지정학적 사건이 발생할 때마다 이에 대한 보복 차원에서 즉각 수행하는 특징이 있다.
보안 업체 SOC레이더 분석에 따르면, 이들은 고전적인 은밀한 봇넷보다 조직화된 ‘커뮤니티 운영’ 형태의 지속적이고 정치적인 공격 프로그램을 가동한다.
공격 수행자들은 스스로 디도시아(DDoSia) 클라이언트를 설치하고 명령제어(C2) 서버로부터 공격 목표와 설정값을 전달받아 공격에 가담했다.
이들은 텔레그램과 X(옛 트위터)에서 정치적 수사와 선전 활동을 펼치며 지지자들을 결집하고 공격 캠페인을 대대적으로 홍보했다.
또 시스템 성능에 따라 최적화된 공격 유형을 할당받고, 이를 통해 목표 서버에 수 시간에서 수 일까지 지속적 압박을 가했다.
디도시아는 단순히 대역폭을 소모하는 방식 대신 HTTP/2 악용이나 캐시 버스팅 등 응용 계층을 공략해 보안 장비를 우회하는 효율적 방식을 택했다. TCP와 UDP 플러딩을 응용 계층 공격과 혼합하는 다중 벡터 공격으로 대상 서버의 복구를 더욱 어렵게 만들었다.
지난해 11월 말 단 일주일 동안 147개 고유 호스트를 대상으로 약 8000건의 공격 명령이 수행됐을 정도로 활동이 활발했다.
이들의 공격은 파괴적이지는 않으나 끈질기고 반복적이다. 특히 보안이 취약한 공공 부문 웹사이트에 단기적 서비스 중단을 일으키는 데 효과적인 것으로 나타났다.
공격이 끝난 후엔 결과 스크린샷과 통계 자료를 SNS에 게시해 성과를 과시하고 지지자들의 사기를 북돋는 과감성을 보이기도 했다.
특히 가담자 참여를 유지하기 위해 내부 순위표와 보상 시스템을 운영하는 등 공격 과정을 게임화했다.
초기 버전은 윈도우에서만 작동했으나, 현재는 리눅스와 안드로이드, ARM 기반 기기까지 지원하는 고도화된 멀티 플랫폼 무기로 진화했다.
최신 버전 디도시아는 트래픽 랜덤화와 실제 클라이언트 서명 복제 기능을 탑재해 보안 솔루션의 탐지를 지능적으로 회피한다.
노네임057(16)은 공격 후 인프라와 도구를 지속적으로 수정하며 다음 캠페인을 준비하는 순환 구조를 확립했다.
단순한 해킹 사고를 넘어, 특정 이념을 가진 군중이 디지털 무기를 들고 집단 행동에 나서는 핵티비즘의 전형적인 모습을 보여준다.
사이버 공격이라는 범죄 행위에 게임의 요소를 도입한 사이버 공격의 게임화는 범죄의 문턱을 낮추고 대중의 가담을 유도하는 교묘한 심리 전술이다. 기술적 방어뿐 아니라 사이버 윤리 교육을 통해 이러한 놀이형 범죄의 위험성을 사회적으로 널리 알리는 것이 시급하다는 지적이다.
[김형근 기자(editor@boannews.com)]
HTTP/2 악용·캐시 버스팅 등 다중 벡터 공격으로 보안 장비 우회
[보안뉴스 김형근 기자] 친러시아 성향 해커 조직 노네임057(16)이 우크라이나와 서방 국가 정부, 언론, 공공기관을 공격하기 위해 디도시아(DDoSia)라는 전용 도구를 사용하고 있는 것으로 파악됐다.
[자료: gettyimagesbank]
이 조직은 2022년 활동을 시작했다. 기술적 지식이 부족한 일반인들도 공격에 참여할 수 있도록 설계된 자발적 배포형 분산 서비스 거부(DDoS) 공격 플랫폼을 운영 중이다.
이들의 공격은 서방의 제재 발표나 군사 지원 소식 등 주요 지정학적 사건이 발생할 때마다 이에 대한 보복 차원에서 즉각 수행하는 특징이 있다.
보안 업체 SOC레이더 분석에 따르면, 이들은 고전적인 은밀한 봇넷보다 조직화된 ‘커뮤니티 운영’ 형태의 지속적이고 정치적인 공격 프로그램을 가동한다.
공격 수행자들은 스스로 디도시아(DDoSia) 클라이언트를 설치하고 명령제어(C2) 서버로부터 공격 목표와 설정값을 전달받아 공격에 가담했다.
이들은 텔레그램과 X(옛 트위터)에서 정치적 수사와 선전 활동을 펼치며 지지자들을 결집하고 공격 캠페인을 대대적으로 홍보했다.
또 시스템 성능에 따라 최적화된 공격 유형을 할당받고, 이를 통해 목표 서버에 수 시간에서 수 일까지 지속적 압박을 가했다.
디도시아는 단순히 대역폭을 소모하는 방식 대신 HTTP/2 악용이나 캐시 버스팅 등 응용 계층을 공략해 보안 장비를 우회하는 효율적 방식을 택했다. TCP와 UDP 플러딩을 응용 계층 공격과 혼합하는 다중 벡터 공격으로 대상 서버의 복구를 더욱 어렵게 만들었다.
지난해 11월 말 단 일주일 동안 147개 고유 호스트를 대상으로 약 8000건의 공격 명령이 수행됐을 정도로 활동이 활발했다.
이들의 공격은 파괴적이지는 않으나 끈질기고 반복적이다. 특히 보안이 취약한 공공 부문 웹사이트에 단기적 서비스 중단을 일으키는 데 효과적인 것으로 나타났다.
공격이 끝난 후엔 결과 스크린샷과 통계 자료를 SNS에 게시해 성과를 과시하고 지지자들의 사기를 북돋는 과감성을 보이기도 했다.
특히 가담자 참여를 유지하기 위해 내부 순위표와 보상 시스템을 운영하는 등 공격 과정을 게임화했다.
초기 버전은 윈도우에서만 작동했으나, 현재는 리눅스와 안드로이드, ARM 기반 기기까지 지원하는 고도화된 멀티 플랫폼 무기로 진화했다.
최신 버전 디도시아는 트래픽 랜덤화와 실제 클라이언트 서명 복제 기능을 탑재해 보안 솔루션의 탐지를 지능적으로 회피한다.
노네임057(16)은 공격 후 인프라와 도구를 지속적으로 수정하며 다음 캠페인을 준비하는 순환 구조를 확립했다.
단순한 해킹 사고를 넘어, 특정 이념을 가진 군중이 디지털 무기를 들고 집단 행동에 나서는 핵티비즘의 전형적인 모습을 보여준다.
사이버 공격이라는 범죄 행위에 게임의 요소를 도입한 사이버 공격의 게임화는 범죄의 문턱을 낮추고 대중의 가담을 유도하는 교묘한 심리 전술이다. 기술적 방어뿐 아니라 사이버 윤리 교육을 통해 이러한 놀이형 범죄의 위험성을 사회적으로 널리 알리는 것이 시급하다는 지적이다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=spacer}
.jpg){kind=spacer}
.jpg)
.gif)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
