2019-11-21 01:15 (목)
한국 등 각국 윈도우 서버 해킹 정황, APT공격에도 활용돼
상태바
한국 등 각국 윈도우 서버 해킹 정황, APT공격에도 활용돼
  • 길민권
  • 승인 2015.08.11 10:07
이 기사를 공유합니다

중국 VPN 서비스 제공업체, 세계 각국 윈도우 서버 침입한 사실 발견
RSA 보안 연구원이 중국에서 ‘Terracotta(병마용)’이라고 불리는 VPN 서비스 제공업체가 세계 각국의 윈도우 서버를 침입한 사실을 발견했다. 또한 이 VPN의 NODE는 APT 해커그룹 “Deep Panda”와 “shell_Crew”의 공격행위에 활용되고 있었던 것으로 드러났다.
 
‘Terracotta’는 중국 VPN 서비스 제공업체로써 전세계 1500여개 node를 보유하고 있으며, 다수가 중국, 한국, 미국과 동유럽에 분포되어 있다. 또한 해당 VPN이 보유하는 대부분 node는 해커가 침입한 윈도우 서버로 구축되어 있으며, 이 서버들은 주로 소규모 회사와 기관들로 구성되었다.
 
조사에 따르면, 공격자는 타깃 윈도우 서버를 발견 후 강제 크랙하는 방법으로 관리자 계정과 패스워드를 획득 및 서버에 접속한다. 다음 윈도우 방화벽을 종료 시키고, 서버에서 실행되는 모든 보안프로그램 사용을 중지시킨다. 또한 원격에서 액세스가 가능한 백도어 프로그램을 설치한다. 마지막으로 새로운 계정을 생성하며 VPN서비스를 설치한다.
 
이때 해킹된 좀비 서버는 ‘Terracotta’ VPN에서 하나의 node로 이용되며, 이렇게 침입된 서버 다수는 법률기관, 대형설계사, 과학기술업체, 학교, 정부기관으로 밝혀졌다.
(뉴스제공. 국내 최대 중국 해킹 보안 정보 서비스 기업 씨엔시큐리티 / www.cnsec.co.kr)
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com