2016.12.02

"오래 전 악성코드가 다시 돌아왔다" 데이터 삭제 악성코드, 사우디 정부 공격

Michael Kan | IDG News Service
사우디의 여러 정부 당국과 필수 설비들이 샤문(Shamoon)으로 알려진 악성코드로부터 공격 당했다. 샤문 악성코드는 컴퓨터 시스템을 깨끗이 지워 데이터를 파괴하는 웜 바이러스와 같은 악성코드다.


Credit: IDGNS

사우디의 SPA(Saudi Press Agency)는 1일 사우디의 여러 정부 기관과 필수 설비들이 서버들이 파괴되는 피해를 겪었다고 보도했다. 교통 분야 또한 피해입은 기관 가운데 하나였다고 밝혔다.

보안업체들은 이 공격은 샤문이라 부르는 악성코드와 연루되어 있다고 말했다. 샤문은 4년 전 사우디 아라비아 석유 회사를 표적으로 한 사이버 공격에서 발견했던 악성코드다. 당시 공격은 3만 대의 컴퓨터를 못쓰게 만들었다.

최근 공격은 시한폭탄과 같은 악성코드 활동이었다. 보안업체 시만텍에 따르면, 악의적인 코딩의 견본은 현지 시각 11월 17일 오후 8시 45분에 데이터를 삭제하기 시작하도록 설정해놓았다.

시만텍은 블로그를 통해 "이 악성코드는 표적이 된 조직으로부터 훔쳐낸 것으로 보이는 비밀번호가 설정되어 있었다. 공격자들이 이 크리덴셜을 훔쳐낸 방법에 대해서는 알지 못한다"고 전했다.

샤문 악성코드는 피해자의 네트워크에 확산함으로써 새로운 컴퓨터에 자신을 복사하도록 한다. 이 악성코드의 새로운 변종은 하드디스크 겹쳐 쓰기를 하면서 지난해 지중해에서 익사한 3세의 시리아 난민 소년의 이미지 데이터로 대체한다.

보안업체인 팔로알토 네트웍스는 "이번 악성코드는 오로지 파괴에만 초점을 맞췄다"고 말했다.

팔로알토 네트웍스는 악성코드가 사용하는 도난당한 비밀번호에 액세스하기 위해 샤문 해커들은 그들의 표적들을 속여 크리덴셜을 받을 수 있도록 피싱 이메일을 보냈을 것으로 보인다"고 전했다.

"또는 이 해커들은 이미 내부 액세스 권한을 갖고 있었을 수도 있다"고 덧붙였다.

누가 이 공격을 시도했는지 분명하지 않지만, 이 악성코드는 2012년 사우디 아라비아 석유 회사 공격에 사용된 샤문의 오래된 버전과 유사하다. 이 버전에서는 하드디스크가 감염되면 불타는 미국 국기 이미지로 덮어쓰기된다.

커팅소드오브저스티스(Cutting Sword of Justice)라 부르는 한 핵티비스트 그룹은 2012년 공격이 자신들이라고 주장했다. 하지만 미국 조사원들은 이란이 연루되어 있다고 주장했다. 이에 이란은 이 공격에 어떤 연관성도 없다고 부인했다. editor@itworld.co.kr  


2016.12.02

"오래 전 악성코드가 다시 돌아왔다" 데이터 삭제 악성코드, 사우디 정부 공격

Michael Kan | IDG News Service
사우디의 여러 정부 당국과 필수 설비들이 샤문(Shamoon)으로 알려진 악성코드로부터 공격 당했다. 샤문 악성코드는 컴퓨터 시스템을 깨끗이 지워 데이터를 파괴하는 웜 바이러스와 같은 악성코드다.


Credit: IDGNS

사우디의 SPA(Saudi Press Agency)는 1일 사우디의 여러 정부 기관과 필수 설비들이 서버들이 파괴되는 피해를 겪었다고 보도했다. 교통 분야 또한 피해입은 기관 가운데 하나였다고 밝혔다.

보안업체들은 이 공격은 샤문이라 부르는 악성코드와 연루되어 있다고 말했다. 샤문은 4년 전 사우디 아라비아 석유 회사를 표적으로 한 사이버 공격에서 발견했던 악성코드다. 당시 공격은 3만 대의 컴퓨터를 못쓰게 만들었다.

최근 공격은 시한폭탄과 같은 악성코드 활동이었다. 보안업체 시만텍에 따르면, 악의적인 코딩의 견본은 현지 시각 11월 17일 오후 8시 45분에 데이터를 삭제하기 시작하도록 설정해놓았다.

시만텍은 블로그를 통해 "이 악성코드는 표적이 된 조직으로부터 훔쳐낸 것으로 보이는 비밀번호가 설정되어 있었다. 공격자들이 이 크리덴셜을 훔쳐낸 방법에 대해서는 알지 못한다"고 전했다.

샤문 악성코드는 피해자의 네트워크에 확산함으로써 새로운 컴퓨터에 자신을 복사하도록 한다. 이 악성코드의 새로운 변종은 하드디스크 겹쳐 쓰기를 하면서 지난해 지중해에서 익사한 3세의 시리아 난민 소년의 이미지 데이터로 대체한다.

보안업체인 팔로알토 네트웍스는 "이번 악성코드는 오로지 파괴에만 초점을 맞췄다"고 말했다.

팔로알토 네트웍스는 악성코드가 사용하는 도난당한 비밀번호에 액세스하기 위해 샤문 해커들은 그들의 표적들을 속여 크리덴셜을 받을 수 있도록 피싱 이메일을 보냈을 것으로 보인다"고 전했다.

"또는 이 해커들은 이미 내부 액세스 권한을 갖고 있었을 수도 있다"고 덧붙였다.

누가 이 공격을 시도했는지 분명하지 않지만, 이 악성코드는 2012년 사우디 아라비아 석유 회사 공격에 사용된 샤문의 오래된 버전과 유사하다. 이 버전에서는 하드디스크가 감염되면 불타는 미국 국기 이미지로 덮어쓰기된다.

커팅소드오브저스티스(Cutting Sword of Justice)라 부르는 한 핵티비스트 그룹은 2012년 공격이 자신들이라고 주장했다. 하지만 미국 조사원들은 이란이 연루되어 있다고 주장했다. 이에 이란은 이 공격에 어떤 연관성도 없다고 부인했다. editor@itworld.co.kr  


X