해커 CyberZeist(@cyberzeist2)가 FBI 웹사이트인 FBI.gov에 침입해 Pastebin에 유출 데이터를 공개했다. 이 해커는 여러 백업파일(acc_102016.bck, acc_112016.bck, old_acc16.bck 등)에서 찾은 FBI.gov계정을 유출시켰다. 유출된 데이터에는 이름, SHA1으로 암호화된 패스워드, 이메일 등의 계정 데이터가 포함되어 있었다.
이번 침입 사건은 2016년 12월 22일, 해커가 Plone Content Management System의 제로데이 취약점을 악용한 것으로 밝혀졌다. CyberZeist는 트위터에 Plone CMS의 제로데이 취약점에 대해 공개했었다. Plone CMS는 이때까지 가장 안전한 CMS로 알려졌으며 FBI를 포함해 많은 상위 기관들이 사용하고 있다.
CyberZeist는 그가 익스플로잇한 CMS에서 제로데이를 찾지 못했다고 설명했고, 단순히 FBI와 Amnesty 웹 사이트를 대상으로 테스트를 진행한 것이라고 말했다. 네트워크 정보 보안을 위한 EU 기관, 지적 재산권 권한 조정 센터 등 다른 웹 사이트들도 잠재적으로 같은 제로데이 공격에 노출되어 있었다.
해당 취약점은 CMS의 일부 파이썬 모듈에 존재하는 것으로 알려졌다. CyberZeist는 벤더가 FBI 사이트를 대상으로 사용하는 것을 두려워했기 때문에 제로데이를 테스트했고, 독일과 러시아 언론이 해킹에 대한 뉴스를 발표했지만 미국 기반의 언론들은 그것을 무시했다고 지적했다.
그는 FBI가 해당 취약점을 판정하기 위해 그에게 연락을 취했다고 말했다. 그는 또한 “많은 업체들이 FBI.gov 사이트를 해킹해 얻은 사실들을 알아내고 판단하기 위해 나에게 연락했지만 거절했다. 왜냐하면 FBI가 즉각 반응하길 기다리고 있었기 때문이다. 하지만 그들은 직접 반응하지 않았고, 나는 아직도 그들이 무엇을 하려고 하는지 모르겠다”고 덧붙였다.
CyberZeist는 FBI의 보안 전문가들이 문제를 해결하기 위해 노력하는 동안 공격에 대한 정보를 추가했고, Plone 제로데이 익스플로잇이 여전히 CMS 백엔드를 타깃으로 작동하고 있다고 말했다. 그는 “루트 접근 권한을 얻을 수 없었지만, 2007년 커스텀 설정이 있었던 FreeBSD 버전 6.2가 실행되고 있어서 조종이 가능했다. 마지막 재부팅 시간은 2016년 12월 15일 저녁 6시 32분이었다”고 말했다.
웹 사이트 관리자들이 동일한 서버에서 백업 파일을 만드는 등의 오류를 저지른 것으로 판단된다. 그는 FBI.gov를 익스플로잇하는 과정에서 관리자가 백업 파일을 루트가 존재하는 폴더에 함께 보관한 것을 통해 매우 게으른 태도를 취하고 있음을 알아냈다. 하지만 그는 백업 파일 전체를 유출시키지 않았고, 대신 자신의 발견을 트위터에 공개했다.
그는 lo4fer라는 닉네임의 해커가 그에게 Tor를 통해 제로데이를 판매할 것을 요청했다는 사실을 언급했고, 이 제로데이가 더이상 판매되지 않으면, Plone CMS 제로데이 공격 백터를 트위터에 스스로 공개하겠다고 밝혔다.
CyberZeist가 FBI의 웹 사이트를 해킹한 것은 처음이 아니며, 2011년 Anonymous의 일원이었을 때 법 집행 기관의 데이터베이스에 침입하기도 했었다.
★정보보안 대표 미디어 데일리시큐!★