2012.03.20

"두큐의 저작자는 오래된 프로그래머"... 카스퍼스키

Jaikumar Vijayan | Computerworld
카스퍼스키 랩 보안 연구원은 스턱스넷 형태의 기능을 가져 지난해 많은 이목을 집중시켰던 스파이 툴인 두큐 트로이가 경험이 풍부한 아주 오래된 프로그래머에 의해 만들어진 것이라고 밝혔다.   
 
카스퍼스키 보안 연구원 이고르 소멘코프는 두큐의 C&C 부분이 C 프로그래밍 언어에서 다소 오래된 사용자 확장자인 객체 기반의 C를 사용해 개발됐음을 알아냈다고 말했다. 
 
두큐의 대부분은 C++ 언어로 쓰여졌으며, 마이크로소프트의 비주얼 C++ 2008로 컴파일한 것에 반해 그 코드를 작게 유지하려는 두 개의 특정 옵션을 사용한 C&C 모듈은 마이크로소프트 비주얼 스투디오 컴파일러 2008(MSVC 2008)로 컴파일된 순수 C를 사용했다고.  
 
소멘코프는 "이런 언어의 선택은 적어도 몇몇 두큐 개발자들이 프로그래밍을 시작할 때 어셈블리를 선택했으며, 그런 다음 좀더 유행에 따르게 됐을 때 C로 전환한 것으로 추측된다"고 말했다. 
 
소멘코프는 "C++이 나왔을 때 많은 오래된 프로그래머들은 불신을 이유로 그대로 머무르기를 선호했다"고 덧붙였다. 

커뮤니티를 통해 저작자, 오래된 프로그래머로 밝혀내 
원격 접속 트로이 목마인 두큐는 산업용 제어 시스템에서 데이터를 훔치기 위해 만들어졌는데, 이는 지난해 11월에 부다페스트 소재 CrySys(Cryptography and Systems Security) 연구소에 의해 발견됐다. 
 
이 멀웨어는 2010년 이란의 나탄즈 핵 시설 운영시스템을 파괴한 스턱스넷 바이러스와 유사한 형태를 지녀 관심을 끌었다. 
 
많은 연구원들은 목적이 조금 달랐음에도 불구하고 멀웨어의 두 개의 조각이 같은 저작자에 의해 쓰여진 것일지 모른다고 추측했다. 
 
스턱스넷은 물리적으로 산업 제어 장비에 피해를 입히기 위해 설계됐다. 이에 반해 두큐는 대부분 산업 제어 시스템에서 데이터를 훔쳐 이후 그것을 공격하기 위한 목적으로 설계됐다.  
 
두큐의 다양함에 격렬한 토론을 거친 결과, 많은 연구원들은 두큐가 정부와 같은 곳에서 지원하는 해커들이 만든 지능적이고, 충분한 자금으로 만들어진 멀웨어라는 결론에 다다랐다.  
 
이번 달 초 소멘스키는 "카스퍼스키 랩이 커뮤니티를 통해 두큐에서 C++, 비주얼 C++ 2008을 사용하지 않은 C&C 서버에서 재미있는 변형 요소를 발견했다"고 블로그에 게재했다. 
 
소멘스키는 이 미스테리한 프로그래밍 언어는 우리가 지금껏 검사해 온 C++, 오브젝트 C, 자바, 파이슨(Python), 아다(Ada), 루아(Lua), 그리고 수많은 다른 언어들이 아니라고 강조하면서 두큐 형식의 코드처럼 만들 수 있는 프레임워크, 툴킷, 또는 프로그래밍 언어를 확인하게끔 도와달라고 블로그에 요청했다. 
 
그는 "이 요청을 통해 포스(Forth), 엘랑(Erlang), 델파이(Delphi), OO C, 그리고 LISP의 변종을 포함한 프로그래밍 언어를 이용한 다른 프로그래머로부터 200개 이상의 답변과 60개의 이메일을 받을 수 있었다"고 말했다.  
 
어느 한 어노니머스로부터 온 하나를 포함해 세 가지 답변과 두 개의 이메일은 두큐 코드가 마이크로소프트 비주얼 스투디오 컴파일러 2008로 컴파일된 순수 C를 사용해 개발됐다는 것을 알아내는데 도움을 줬다. 
 
두큐 트로이의 개발자들은 아주 뛰어난 오래된 프로그래머들에 의해 쓰여진 오래된 코드를 재사용한 것으로 나타났다. 
 
소멘스키는 "이런 기술은 보통 프로페셔널 소프트웨어에서 보여지며, 오늘날 멀웨어에 결코 쓰일 수 없다"고 주장했다. editor@itworld.co.kr


2012.03.20

"두큐의 저작자는 오래된 프로그래머"... 카스퍼스키

Jaikumar Vijayan | Computerworld
카스퍼스키 랩 보안 연구원은 스턱스넷 형태의 기능을 가져 지난해 많은 이목을 집중시켰던 스파이 툴인 두큐 트로이가 경험이 풍부한 아주 오래된 프로그래머에 의해 만들어진 것이라고 밝혔다.   
 
카스퍼스키 보안 연구원 이고르 소멘코프는 두큐의 C&C 부분이 C 프로그래밍 언어에서 다소 오래된 사용자 확장자인 객체 기반의 C를 사용해 개발됐음을 알아냈다고 말했다. 
 
두큐의 대부분은 C++ 언어로 쓰여졌으며, 마이크로소프트의 비주얼 C++ 2008로 컴파일한 것에 반해 그 코드를 작게 유지하려는 두 개의 특정 옵션을 사용한 C&C 모듈은 마이크로소프트 비주얼 스투디오 컴파일러 2008(MSVC 2008)로 컴파일된 순수 C를 사용했다고.  
 
소멘코프는 "이런 언어의 선택은 적어도 몇몇 두큐 개발자들이 프로그래밍을 시작할 때 어셈블리를 선택했으며, 그런 다음 좀더 유행에 따르게 됐을 때 C로 전환한 것으로 추측된다"고 말했다. 
 
소멘코프는 "C++이 나왔을 때 많은 오래된 프로그래머들은 불신을 이유로 그대로 머무르기를 선호했다"고 덧붙였다. 

커뮤니티를 통해 저작자, 오래된 프로그래머로 밝혀내 
원격 접속 트로이 목마인 두큐는 산업용 제어 시스템에서 데이터를 훔치기 위해 만들어졌는데, 이는 지난해 11월에 부다페스트 소재 CrySys(Cryptography and Systems Security) 연구소에 의해 발견됐다. 
 
이 멀웨어는 2010년 이란의 나탄즈 핵 시설 운영시스템을 파괴한 스턱스넷 바이러스와 유사한 형태를 지녀 관심을 끌었다. 
 
많은 연구원들은 목적이 조금 달랐음에도 불구하고 멀웨어의 두 개의 조각이 같은 저작자에 의해 쓰여진 것일지 모른다고 추측했다. 
 
스턱스넷은 물리적으로 산업 제어 장비에 피해를 입히기 위해 설계됐다. 이에 반해 두큐는 대부분 산업 제어 시스템에서 데이터를 훔쳐 이후 그것을 공격하기 위한 목적으로 설계됐다.  
 
두큐의 다양함에 격렬한 토론을 거친 결과, 많은 연구원들은 두큐가 정부와 같은 곳에서 지원하는 해커들이 만든 지능적이고, 충분한 자금으로 만들어진 멀웨어라는 결론에 다다랐다.  
 
이번 달 초 소멘스키는 "카스퍼스키 랩이 커뮤니티를 통해 두큐에서 C++, 비주얼 C++ 2008을 사용하지 않은 C&C 서버에서 재미있는 변형 요소를 발견했다"고 블로그에 게재했다. 
 
소멘스키는 이 미스테리한 프로그래밍 언어는 우리가 지금껏 검사해 온 C++, 오브젝트 C, 자바, 파이슨(Python), 아다(Ada), 루아(Lua), 그리고 수많은 다른 언어들이 아니라고 강조하면서 두큐 형식의 코드처럼 만들 수 있는 프레임워크, 툴킷, 또는 프로그래밍 언어를 확인하게끔 도와달라고 블로그에 요청했다. 
 
그는 "이 요청을 통해 포스(Forth), 엘랑(Erlang), 델파이(Delphi), OO C, 그리고 LISP의 변종을 포함한 프로그래밍 언어를 이용한 다른 프로그래머로부터 200개 이상의 답변과 60개의 이메일을 받을 수 있었다"고 말했다.  
 
어느 한 어노니머스로부터 온 하나를 포함해 세 가지 답변과 두 개의 이메일은 두큐 코드가 마이크로소프트 비주얼 스투디오 컴파일러 2008로 컴파일된 순수 C를 사용해 개발됐다는 것을 알아내는데 도움을 줬다. 
 
두큐 트로이의 개발자들은 아주 뛰어난 오래된 프로그래머들에 의해 쓰여진 오래된 코드를 재사용한 것으로 나타났다. 
 
소멘스키는 "이런 기술은 보통 프로페셔널 소프트웨어에서 보여지며, 오늘날 멀웨어에 결코 쓰일 수 없다"고 주장했다. editor@itworld.co.kr


X