오커스 RAT, 원격 관리 툴이라고는 하지만 사실 멀웨어
캐나다 당국, 영장 발부해 개발자 집 급습...하드 드라이브 다수 압수
[보안뉴스 문가용 기자] 캐나다 당국은 지난 주 오커스 RAT(Orcus RAT)이라는 멀웨어를 개발하는 오커스 테크놀로지스(Orcus Technologies)를 급습했다고 발표했다. 오커스 RAT는 지하 암시장에서 거래되는 공격용 도구로, 다양한 원격 접근 기능들을 탑재하고 있다.
[이미지 = iclickart]
다크웹에서의 광고에 따르면 ‘원격 관리자 툴’인 오커스는 2016년부터 시장에 등장했다. 하지만 당연히 ‘원격 관리’ 이상의 기능을 제공한다.
1) 실시간 C# 및 VB.net 코드 실행
2) 마이크로폰과 카메라 활성화
3) 웹캠의 지시등(알림등) 해제
4) 비밀번호 수집
5) 키스트로크 로깅
여기에다가 별도의 플러그인을 붙이기라도 하면 디도스 공격도 실행 가능하다. 사용자가 멀웨어의 프로세스를 종료시키려고 하면 ‘파란 화면’을 띄울 정도로 감염된 시스템에 집요하게 남아 있으려고 한다.
보안 블로거 브라이언 크렙스(Brian Krebs)는 “오커스의 개발자는 존 레즈베즈(John Rezvesz)라는 인물로, 온라인에서는 아르마다(Armada)라는 닉으로 통한다”고 설명한다. 레즈베즈는 페이스트빈(Pastebin)을 통해 “당국과 경찰이 보유하고 있던 하드 드라이브 다수를 압수해갔다”는 내용의 글을 올리기도 했다.
그에 따르면 “당국이 압수해 간 하드 드라이브는 오커스 테크놀로지스의 사업에 필요한 데이터 대부분이 저장되어 있던 곳”이며, “오커스 고객들의 사용자 온라인 이름, 실제 이름, 금융 거래 기록 등도 포함되어 있다”라고 한다. 뿐만 아니라 “이는 국제적인 수사 공조의 일환으로 진행된 것으로, 미국, 독일, 호주, 캐나다 등이 참여하고 있는 것으로 보인다”고 쓰기도 했다.
“하지만 당국은 사용자와 라이선스와 관련된 데이터베이스는 확보하지 못했습니다. 또한 가장 핵심적인 저의 개인 랩톱과 태블릿도 확보하지 못했습니다. 이 남은 자료를 보호하기 위해 변호사를 선임한 상태이며, 합법적인 선 안에서 보호할 작정입니다.”
그러면서 레즈베즈는 오커스를 한 번이라도 이용한 고객들에게 경고했다. “오커스를 정직하게 구매해서 사용했던지, 크래킹을 한 해적판을 구해서 사용했던지, 앞으로 오커스는 ‘안전한 원격 관리 툴’로서 인정받지 못할 것입니다. 그러므로 이제는 스스로가 위험 부담을 가져가야 할 것입니다. 삭제하는 것이 가장 안전한 선택일 수 있습니다.”
캐나다 당국은 “지난 주 영장을 발부 받아 광역 토론토 지역 내 거주지를 급습하는 작전을 펼쳤다”고 발표했다. 하지만 누가, 어떤 곳에서, 무슨 이유로 체포되거나 취조됐는지는 자세히 공개하지 않았다. “이는 국제적인 수사 공조 작전의 일환으로 진행된 것이며, 미국, 호주 등이 참여하고 있습니다.”
3줄 요약
1. 오커스 RAT를 개발하는 오커스 테크놀로지스에 캐나다 경찰이 들이닥침.
2. 오커스 RAT는 원격 침투 툴로, 다크웹에서 2016년부터 거래된 것임.
3. 개발자는 페이스트빈에 “삭제하라”는 경고를 고객들에게 띄움. 남은 데이터 보호하기 위해 변호사 선임할 것이라는 약속도 함.
[국제부 문가용 기자(globoan@boannews.com)]
캐나다 당국, 영장 발부해 개발자 집 급습...하드 드라이브 다수 압수
[보안뉴스 문가용 기자] 캐나다 당국은 지난 주 오커스 RAT(Orcus RAT)이라는 멀웨어를 개발하는 오커스 테크놀로지스(Orcus Technologies)를 급습했다고 발표했다. 오커스 RAT는 지하 암시장에서 거래되는 공격용 도구로, 다양한 원격 접근 기능들을 탑재하고 있다.
[이미지 = iclickart]
다크웹에서의 광고에 따르면 ‘원격 관리자 툴’인 오커스는 2016년부터 시장에 등장했다. 하지만 당연히 ‘원격 관리’ 이상의 기능을 제공한다.
1) 실시간 C# 및 VB.net 코드 실행
2) 마이크로폰과 카메라 활성화
3) 웹캠의 지시등(알림등) 해제
4) 비밀번호 수집
5) 키스트로크 로깅
여기에다가 별도의 플러그인을 붙이기라도 하면 디도스 공격도 실행 가능하다. 사용자가 멀웨어의 프로세스를 종료시키려고 하면 ‘파란 화면’을 띄울 정도로 감염된 시스템에 집요하게 남아 있으려고 한다.
보안 블로거 브라이언 크렙스(Brian Krebs)는 “오커스의 개발자는 존 레즈베즈(John Rezvesz)라는 인물로, 온라인에서는 아르마다(Armada)라는 닉으로 통한다”고 설명한다. 레즈베즈는 페이스트빈(Pastebin)을 통해 “당국과 경찰이 보유하고 있던 하드 드라이브 다수를 압수해갔다”는 내용의 글을 올리기도 했다.
그에 따르면 “당국이 압수해 간 하드 드라이브는 오커스 테크놀로지스의 사업에 필요한 데이터 대부분이 저장되어 있던 곳”이며, “오커스 고객들의 사용자 온라인 이름, 실제 이름, 금융 거래 기록 등도 포함되어 있다”라고 한다. 뿐만 아니라 “이는 국제적인 수사 공조의 일환으로 진행된 것으로, 미국, 독일, 호주, 캐나다 등이 참여하고 있는 것으로 보인다”고 쓰기도 했다.
“하지만 당국은 사용자와 라이선스와 관련된 데이터베이스는 확보하지 못했습니다. 또한 가장 핵심적인 저의 개인 랩톱과 태블릿도 확보하지 못했습니다. 이 남은 자료를 보호하기 위해 변호사를 선임한 상태이며, 합법적인 선 안에서 보호할 작정입니다.”
그러면서 레즈베즈는 오커스를 한 번이라도 이용한 고객들에게 경고했다. “오커스를 정직하게 구매해서 사용했던지, 크래킹을 한 해적판을 구해서 사용했던지, 앞으로 오커스는 ‘안전한 원격 관리 툴’로서 인정받지 못할 것입니다. 그러므로 이제는 스스로가 위험 부담을 가져가야 할 것입니다. 삭제하는 것이 가장 안전한 선택일 수 있습니다.”
캐나다 당국은 “지난 주 영장을 발부 받아 광역 토론토 지역 내 거주지를 급습하는 작전을 펼쳤다”고 발표했다. 하지만 누가, 어떤 곳에서, 무슨 이유로 체포되거나 취조됐는지는 자세히 공개하지 않았다. “이는 국제적인 수사 공조 작전의 일환으로 진행된 것이며, 미국, 호주 등이 참여하고 있습니다.”
3줄 요약
1. 오커스 RAT를 개발하는 오커스 테크놀로지스에 캐나다 경찰이 들이닥침.
2. 오커스 RAT는 원격 침투 툴로, 다크웹에서 2016년부터 거래된 것임.
3. 개발자는 페이스트빈에 “삭제하라”는 경고를 고객들에게 띄움. 남은 데이터 보호하기 위해 변호사 선임할 것이라는 약속도 함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
