보안

두큐 해커, 제어 서버에 있는 증거마저 제거...러 카스퍼스키

Gregg Keizer | Computerworld 2011.12.02
카스퍼스키의 한 보안 연구원은 두큐(Duqu) 봇넷을 조종한 해커가 10월 20일에 알려진 12개의 명령 & 제어(C&C) 서버들의 모든 파일을 제거하고 그들의 스누핑 운영을 중단했다고 말했다. 
 
모스코바에 기반을 둔 카스퍼스키 연구소에 따르면, 이는 시만텍이 트로이 목마 기반의 봇넷인 두큐의 분석을 공개한 이후 2일 만이다. 많은 보안 전문가들은 이 두큐가 지난해 이란의 핵 프로그램을 파괴했던 고도로 지능화된 웜 바이러스인 스턱스넷의 코드와 그 특성을 공유했다고 믿는다.  
 
시만텍과 카스퍼스키는 두큐는 미확인 국가가 지원하는 숙련된 해커에 의해 설계된 것이라고 밝혔다. 
 
스턱스넷과는 달리, 두큐는 우라늄 농축 기기에 대한 파괴적인 피해를 입히는 술책을 쓰는 것이 아니라 산업 제어 시스템을 표적으로 한 또다른 웜 바이러스 침투를 위한 도입구로써 설치와 컴퓨터 네트워크의 취약점을 정찰하는 것이다.
 
카스퍼스키 선임 연구원 로엘 스카우벤버그는 "나는 이것이 현재 닫혀진 두큐의 운영 중 일부라고 생각한다"며, "그러나 그것이 이미 시작했을지도 모르는 새롭게 수정된 운영 방법을 말하는 것이 아니"라고 이메일을 통해 말했다. 
 
최근 또 다른 카스퍼스키의 전문가는 두큐에 대해 조사한 결과, 10월 20일에 깨끗하게 정리된 상태였다고 업데이트했다. 
 
카스퍼스키에 따르면, 알려진 것만해도 십여 개가 되는 두큐 변종의 각각은 멜웨어의 특정 버전에 침입를 받은 PC를 관리하는 데 다른 좀비 서버를 사용했다. 이 서버들은 벨기에, 인도, 네덜란드, 그리고 베트남과 다른 국가에 위치했다. 
 
카스퍼스키는 "10월 20일에 공격자들이 멀게는 2009년부터 사용해 오던 모든 서버들을 정리했다는 점에 주목하고 있다. 
 
그 해커들은 시스템에서 그들의 모든 파일들을 삭제했을뿐만 아니라 청소를 효과적으로 했는지 중복 검사까지 했다. 카스퍼스키는 "우리는 깨끗하게 청소된 각 C&C 서버를 조사했었다"고 전했다. 
 
카스퍼스키는 또한 아직 판독하지 않은 두큐의 운영에 관한 단서들을 노출했다.  
"공격자들은 각 좀비 서버에 있는 OpenSSH의 버전이 4.3 버전에서 새 버전인 5.8으로 대체하는 등 새로운 에디션으로의 빠른 업데이트를 보였다고. OpenSSH(Open BSD Secure Shell)는 인터넷 트래픽을 암호화하는 오픈 소스 툴킷이다.  
 
OpenSSH에는 고쳐지지 않는, 또는 제로데이 취약점이 담겨 있다. 두큐 해커들은 그들이 사용하기 위해 적당한 서버들을 납치하는데 이를 악용했을 것이다. 카스퍼스키는 너무 무섭다는 이유로 끝내 그 이론을 설명하기를 거부했다. 
 
스카우벤버그는 OpenSSH 5.8에 대한 빠른 업데이트를 제안했다.
  
논리적으로 추정할 수 있는 것 가운데 하나는 우리는 예전 버전의 취약점을 본 것이거나 또는 새로운 버전에서 공격자에게 유용한 기능을 추가했다는 것. 그리고 또 하나는 OpenSSH 4.3에서 가능성있는 취약점에서 업데이트를 함으로써 두큐 개발자들은 그들이 훔친 서버들을 다른 범죄에 사용할 수 없게 만든 것일지 모른다는 것이다.
 
지난해 핵시설을 포함해 잘 알려진 시스템들이 스턱스넷에 감염됐던 이란은 2주전에 두큐가 자국 PC 내에서 움직이는 것을 인정했다.
 
2007년 8월 이래로 두큐는 이란보다는 수단을 포함한 다른 여러 국가에서 공격하는 것을 찾아냈다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.