2020-09-26 04:55 (토)
해킹그룹 ‘쉐도우 브로커’가 공개한 NSA 해킹툴들은…
상태바
해킹그룹 ‘쉐도우 브로커’가 공개한 NSA 해킹툴들은…
  • 페소아 기자
  • 승인 2016.08.25 09:56
이 기사를 공유합니다

“NSA가 직접 해킹 당했다기보다는 관련 C2서버나 pivot서버가 해킹당해 유출된 것”

자칭 Shadow Brokers라고 밝힌 미확인 해킹그룹이 지난 8월 13일 텀블러 등을 통해 NSA 소속 팀으로 생각되고 있는 이퀘이젼 그룹(이하 Equation Group)자료를 유출시켰다. Equation group은 스턱스넷(Stuxnet)과 Flame등 굵직한 APT공격의 주모자로 알려져 있으며, 카스퍼스키는 지난해 이 그룹이 NSA와 연관되어 있을 것이라는 보고서를 발표한바 있다.

Shadow Brokers는 Equation group이 만든 것으로 생각되는 익스플로잇, 툴, 임플란트가 담겨있는 압축파일을 공개했다. 그들은 유출 파일 중 일부만을 무료로 공개하고 gpg로 암호화되어 있는 파일은 경매에 붙인다고 밝혔다. 그러나 경매의 승자 판정이나 경매 종료의 정확한 시점에 대해서는 밝히지 않았고, 추가로 총 100만 비트코인이 입금된다면 더 많은 자료를 공개하겠다고 밝혔다.

공개된 파일은 시스코 PIX/ASA, 주니퍼(Juniper), 워치가드(WatchGuard), TOPSEC, 포티게이트(Fortigate) 등의 방화벽에 대한 익스플로잇과 툴, 임플란트 등이다. 이들은 4글자로 이루어진 코드네임 폴더로 이루어져있었고 이들이 의미하는 바는 SCRIPT 폴더 내의 파일들과 코드네임을 비교해보며 파악할 수 있었다.

EXPLOIT 폴더 내의 코드네임들이 의미하는 것은 아래와 같다.

-EGBL: EGREGIOUS BLUNDER 버전 3.0.0.1 / 타겟: Fortigate Firewall(firmware FGT_60-v300) + HTTPD exploit

-ELBA: ELIGIBLE BACHELOR / 타겟: TOS운영시스템에서 동작하는 TOPSEC방화벽에 대한 공격

-ELBO: ELIGIBLE BOMBSHELL 버전 1.2.0.1 / 타겟: Chinese TOPSEC firewall versions 3.3.005.057.1 ~ 3.3.010.024.1

-ELCA: ELIGIBLECANDIDATE version 1.1.0.1 / 타겟: 중국 TOPSEC firewalls version 3.3.005.057.1 ~ 3.3.010.024.1

-ELCO: ELIGIBLECONTESTANT version 1.1.0.1 / 타겟: 중국 TOPSEC firewalls version 3.3.005.057.1 ~ 3.3.010.024.1

-EPBA: EPICBANANA version 2.1.0.1 / 타겟:  Cisco PIX, Adaptive Security Appliance (ASA)

-ESPL: ESCALATEPLOWMAN version 1.1.0.1 / WatchGuard 방화벽에 대한 로컬 권한상승 익스플로잇

-EXBA: EXTRABACON version 1.1.0.1 / Cisco Adaptive Security Appliance (ASA)의 SNMP 서비스에 대한 공격

이외의 몇가지 임플란트 및 툴들은 아래와 같다.

-BLATSTING: Fortigate를 대상으로 하는 EGREGIOUSBLUNDER과 Topsec를 대상으로 하는ELIGIBLEBACHELOR와 함께 사용되는 방화벽 소프트웨어 임플란트

-BANANAGLEE: Cisco ASA/PIX에 대한 비지속성 방화벽 소프트웨어 임플란트/NSA ANT 카탈로그에서 언급됨

-BANANABALLOT: BANANAGLEE같은 임플란트와 연결된 BIOS 모듈

-BEECHPONY: BANANAGLEE의 선행절차인 방화벽 임플란트

-JETPLOW: Cisco ASA/PIX에 대한 지속성 펌웨어 임플란트로 BANANAGLEE를 지속시킴/이전에 NSA ANT 카탈로그에서 언급됨

-SCREAMINGPLOW: JETPLOW와 비슷한 역할

-BUZZDIRECTION: Fortigate 방화벽에 대한 소프트웨어 임플란트

-FEEDTROUGH: Juniper Netscreen 방화벽에 대한 BANANAGLEE, ZESTYLEAK 임플란트를 지속시키기 위한 기술/NSA ANT 카탈로그에서 언급됨

-JIFFYRAUL: BANANAGLEE과 함께 Cisco PIX방화벽에 로드되는 모듈

-BARICE: BARGLEE 임플란트를 설치하기 위한 쉘을 제공하는 툴

-NOPEN: RC6을 사용하여 데이터를 암호화하는 서버와 클라이언트로 구성되는 쉘/서버는 타겟머신에 설치됨

자료가 유출된 후 각 시스코, 포티게이트는 자신들의 제품과 관련되어있는 것을 인정하며 관련 보고서를 내놓았다. 주니퍼네트웍스 역시 자신들의 제품과 관련되어 있는 것은 인정했으나 정확한 분석 전에는 보안권고문이나 패치를 내놓지 않을 것이라고 밝혔다.

한편 Grugq등 연구원들은 NSA가 직접 해킹 당했다기보다는 관련 C2서버나 pivot서버가 해킹당해 유출된 것으로 판단하고 있다고 전했다.

★정보보안 & IT 대표 미디어 데일리시큐!★