2016.08.30

지능적인 리퍼 악성코드, 태국 ATM 기기에서 4억 원 훔쳐

Lucian Constantin | IDG News Service
리퍼(Ripper) 악성코드는 특수제작한 카드와 함께 공격자가 ATM 기기들에서 돈을 빼낼 수 있도록 한다.


Credit: IDGNS Boston

보안 전문가들이 사이버범죄 집단에 의해 태국의 ATM 기기에서 한국돈으로 약 4억 원을 훔치는 데 사용된 지능적인 악성코드를 발견했다. 리퍼(Ripper)라고 명명된 새로운 악성코드 샘플은 지난주 지역 신문에 보도되기 직전에 태국의 IP 주소에서 바이러스토털(VirusTotal) 데이터베이스에 업로드됐다.

지역 신문은 사이버범죄자들이 이 악성코드를 사용해 21개의 ATM 기기로부터 1,229만 바트(3억 9,733만 원)를 훔쳤다고 보도했다. 방콕 포스트(Bangkok Post)가 지난 주 보도한 바에 따르면, 이 사건으로 인해 주정부 소유의 정부은행은 한 벤더에 의해 제작된 모든 ATM 기기들을 중단시켰으며 악성코드를 검사하고 있다.

파이어아이 보안 연구원들은 27일 한 블로그에서 태국에서 나온 리퍼 악성코드 견본을 본 바로는 이 악성코드가 최근 태국의 ATM 기기에서 현금을 인출하는데 사용된 것으로 추정된다고 밝혔다.

이들의 분석에 따르면, 리퍼는 태국에서 한 벤더의 동일 ATM 기기 제품들을 표적으로 했는데, 다른 2개 벤더도 마찬가지다. 이 악성코드는 ATM 기기가 해킹 당하는 동안 네트워크 인터페이스를 사용할 수 없도록 한다. 이 악성코드 견본은 7월 10일에 만들어졌으며, 약 한달 전에 공공리에 알려졌다.

리퍼 악성코드가 ATM 기기에 설치되면 공격자들이 특별히 프로그램된 카드를 삽입할 때까지 기다린다. 인증을 위해 사용되는 이 메커니즘은 과거에 다른 ATM 악성코드에 의해 사용된 바 있다. 인증이 되면 이 공격자는 40개 은행권에서 ATM의 현금을 뽑아내도록 명령할 수 있다.

파이어아이 연구원들은 "또한 리퍼는 과거 ATM 악성코드 프로그램인 튭킨(Tyupkin) 또는 패드핀(Padpin)을 포함한 수세플(SUCEFUL), 그린디스펜서(GreenDispenser) 등의 기능도 갖고 있다"며, "예를 들어, 이 기능들은 포렌식 증거들을 삭제하는 데 사용될 수 있다"고 설명했다.

ATM 악성코드는 여러 경로를 통해 배포될 수 있는데, 그 가운데 하나는 기술자와 ATM 기기 서비스에 종사하는 내부자들에 의한 것이다. CD-ROM이나 ATM에 있는 USB 포트를 통해서도 침투할 수 있는데, 이는 특별 서비스 키로 ATM 외장을 벗긴 후 사용할 수 있다. 이 키는 온라인에서 구입할 수 있다.

두번째 방법은 외부에서 ATM 기기들을 표적으로 공격하는 것이다. 태국의 경우, 이 방법을 택한 것으로 보인다.

ATM 기기를 해킹해 대량으로 돈을 인출하는 스키밍 범죄는 2010년 블랙햇 컨퍼런스에서 처음 시연된 후 이슈화됐다. 초기 스키밍은 사용자의 마그네틱 카드 정보를 훔쳐 인출하는 방법에서 ATM 시스템을 직접 공격하는 것으로 진화했다.

2013년부터 멕시코, 동유럽, 미국, 인도, 중국으로 피해가 확산되면서 각국 은행과 보안업계는 초비상이 걸렸다. 최근 일본(5월), 대만(7월)에서 ATM 기기 대규모 현금 인출 사건이 발생한 데 이어, 이번에는 태국에서 같은 사건이 발생한 것이다(편집자 주). editor@itworld.co.kr 


2016.08.30

지능적인 리퍼 악성코드, 태국 ATM 기기에서 4억 원 훔쳐

Lucian Constantin | IDG News Service
리퍼(Ripper) 악성코드는 특수제작한 카드와 함께 공격자가 ATM 기기들에서 돈을 빼낼 수 있도록 한다.


Credit: IDGNS Boston

보안 전문가들이 사이버범죄 집단에 의해 태국의 ATM 기기에서 한국돈으로 약 4억 원을 훔치는 데 사용된 지능적인 악성코드를 발견했다. 리퍼(Ripper)라고 명명된 새로운 악성코드 샘플은 지난주 지역 신문에 보도되기 직전에 태국의 IP 주소에서 바이러스토털(VirusTotal) 데이터베이스에 업로드됐다.

지역 신문은 사이버범죄자들이 이 악성코드를 사용해 21개의 ATM 기기로부터 1,229만 바트(3억 9,733만 원)를 훔쳤다고 보도했다. 방콕 포스트(Bangkok Post)가 지난 주 보도한 바에 따르면, 이 사건으로 인해 주정부 소유의 정부은행은 한 벤더에 의해 제작된 모든 ATM 기기들을 중단시켰으며 악성코드를 검사하고 있다.

파이어아이 보안 연구원들은 27일 한 블로그에서 태국에서 나온 리퍼 악성코드 견본을 본 바로는 이 악성코드가 최근 태국의 ATM 기기에서 현금을 인출하는데 사용된 것으로 추정된다고 밝혔다.

이들의 분석에 따르면, 리퍼는 태국에서 한 벤더의 동일 ATM 기기 제품들을 표적으로 했는데, 다른 2개 벤더도 마찬가지다. 이 악성코드는 ATM 기기가 해킹 당하는 동안 네트워크 인터페이스를 사용할 수 없도록 한다. 이 악성코드 견본은 7월 10일에 만들어졌으며, 약 한달 전에 공공리에 알려졌다.

리퍼 악성코드가 ATM 기기에 설치되면 공격자들이 특별히 프로그램된 카드를 삽입할 때까지 기다린다. 인증을 위해 사용되는 이 메커니즘은 과거에 다른 ATM 악성코드에 의해 사용된 바 있다. 인증이 되면 이 공격자는 40개 은행권에서 ATM의 현금을 뽑아내도록 명령할 수 있다.

파이어아이 연구원들은 "또한 리퍼는 과거 ATM 악성코드 프로그램인 튭킨(Tyupkin) 또는 패드핀(Padpin)을 포함한 수세플(SUCEFUL), 그린디스펜서(GreenDispenser) 등의 기능도 갖고 있다"며, "예를 들어, 이 기능들은 포렌식 증거들을 삭제하는 데 사용될 수 있다"고 설명했다.

ATM 악성코드는 여러 경로를 통해 배포될 수 있는데, 그 가운데 하나는 기술자와 ATM 기기 서비스에 종사하는 내부자들에 의한 것이다. CD-ROM이나 ATM에 있는 USB 포트를 통해서도 침투할 수 있는데, 이는 특별 서비스 키로 ATM 외장을 벗긴 후 사용할 수 있다. 이 키는 온라인에서 구입할 수 있다.

두번째 방법은 외부에서 ATM 기기들을 표적으로 공격하는 것이다. 태국의 경우, 이 방법을 택한 것으로 보인다.

ATM 기기를 해킹해 대량으로 돈을 인출하는 스키밍 범죄는 2010년 블랙햇 컨퍼런스에서 처음 시연된 후 이슈화됐다. 초기 스키밍은 사용자의 마그네틱 카드 정보를 훔쳐 인출하는 방법에서 ATM 시스템을 직접 공격하는 것으로 진화했다.

2013년부터 멕시코, 동유럽, 미국, 인도, 중국으로 피해가 확산되면서 각국 은행과 보안업계는 초비상이 걸렸다. 최근 일본(5월), 대만(7월)에서 ATM 기기 대규모 현금 인출 사건이 발생한 데 이어, 이번에는 태국에서 같은 사건이 발생한 것이다(편집자 주). editor@itworld.co.kr 


X