시티즌 랩, 한국 국정원의 해킹팀 RCS 사용에 대한 연구 조사보고서 공개
– 국정원이 사용한 미끼 콘텐츠, 도메인 및 아이피 주소 공개
– 국정원, OTA 업데이트와 와이파이 무선 네트워크 해킹에 관심
– 국정원, 카카오톡 및 안랩의 안티바이러스 해킹에 관심
– 국정원의 한국인 실제타깃 두 차례 해킹 성공 사례 공개
시티즌 랩은 9일 한국 국정원의 해킹팀 RCS 사용에 대한 개략적인 연구노트와 함께 추가적인 조사와 연구를 돕고자 자체 보고서를 통해 이제까지 밝혀진 정보를 공개했다.
특히 이번 보고서에서 중요한 것은 한국 국정원이 한국과 관련 있는 민간인이나 개인을 상대로 사찰을 했다는 정황적 증거와 사례가 공개됐다는 점이다. 연구 보고서는 국정원이 한국 내수용 휴대폰을 타깃으로 삼는데 깊은 관심을 보였다고 지적하고, 또한 카카오톡과 안랩의 안티바이러스 프로그램과 같은 한국 소프트웨어를 타깃으로 삼는 일에 관심을 보였음을 밝혔다.
흥미롭게도 보고서는 지난해 세월호 참사를 언급하며 사고에 대한 정부의 부적절한 대응에 대통령과 정부가 비난을 받았던 당시 자신에 대한 루머를 엄중 단속하겠다는 의지를 박근혜 대통령이 밝힌 후 카카오톡이 정부로부터 통화내역을 공개하라는 압박을 받았던 사실도 상기시켰다. 시티즌 랩은 정부가 카카오톡을 통한 민간인 사찰에 줄곧 관심이 있어왔다는 사실을 이미 잘 알고 있었다.
이 보고서는 또한 국정원이 OTA 업데이트와 무선 네트워크를 통한 스파이웨어의 설치에 관심을 보였다고 전하며, 이에 사용한 미끼 콘텐츠들과 커맨드 앤 컨트롤(C&C) 서버, 해킹서버 로그파일과 아이피 주소를 공개했다.
시티즌 랩 연구보고서는 유출된 데이터만으로 특정 타깃을 확인할 수 없지만, 국정원의 해킹팀 RCS의 C&C 하부구조와 관련된 몇몇 기술적인 데이터를 제시하며 이것이 앞으로의 연구에 유용하게 쓰일 수 있음을 강조했다. 보고서는 추후 조사를 위해 다음과 같이 4가지 주요사항들에 초점을 맞출 것을 권하며 상세하게 씌어진 방대한 양의 글을 마무리했다.
첫째로, 두 도메인 publiczone.now.im과 hulahope.mooo.com과 관련된 지난해의 DNS 로그 파일을 입수할 것. 이것은 감염된 도구들의 아이피 주소를 밝혀줄 수 있을 것이다.
둘째로, 침입 발견 시스템 (Intrusion Detection Systems)을 운영하는 조직이나 기관들은 여기에 제시된 아이피 주소나 도메인 이름들을 클릭했는지 자신들의 로그 파일을 확인할 것.
셋째로, 테스트에 초점을 두고 있는 그룹들은 잠재적인 타깃의 이메일 계정과 그들의 SMS 로그, WAP 푸시 메시지 로그, 그리고 다른 모든 핸드폰 메시지 앱의 로그, 우리가 찾아낸 도메인 이름(또는 이 도메인 주소로 단축되는 Tinyurl 링크 같은 모든 링크)을 포함하고 있는 모든 이메일이나 메시지들, 그리고 해킹팀의 해킹 또는 스파이웨어와 매치되는 모든 첨부파일들을 스캔할 것.
마지막으로, 만약 국정원이 초기에 그들의 Bitcoin 도메인 주소 구매를 위해 단일 주소를 사용했다면, 도메인과 연관된 등록 시기를 이용해 Blockchain을 조사한다면 국정원의 Bitcoin 주소를 추적하는 것이 가능할 수 있을 것이다. 국정원의 Bitcoin 주소를 추적하면 국정원의 C&C 구조와 연관된 추가적인 요소를 밝힐 수 있다.
이 연구 보고서는 한국 국정원이 한국인에 대한 해킹에 관심을 가지고 있었다는 점과 실제 타깃이 있었음을 시사하는 정황적인 증거들을 제시했다는 점에서 큰 성과를 보였고, 앞으로도 국정원의 해킹에 대한 역추적을 계속할 것임을 약속했다.
다음은 뉴스프로가 번역한 시티즌 랩 보고서의 발췌 부분이다. (Summary(요약) 부분 번역은 시티즌 랩 한글 번역을 그대로 게재함)
– 국정원이 사용한 미끼 콘텐츠, 도메인 및 아이피 주소 공개
– 국정원, OTA 업데이트와 와이파이 무선 네트워크 해킹에 관심
– 국정원, 카카오톡 및 안랩의 안티바이러스 해킹에 관심
– 국정원의 한국인 실제타깃 두 차례 해킹 성공 사례 공개
시티즌 랩은 9일 한국 국정원의 해킹팀 RCS 사용에 대한 개략적인 연구노트와 함께 추가적인 조사와 연구를 돕고자 자체 보고서를 통해 이제까지 밝혀진 정보를 공개했다.
특히 이번 보고서에서 중요한 것은 한국 국정원이 한국과 관련 있는 민간인이나 개인을 상대로 사찰을 했다는 정황적 증거와 사례가 공개됐다는 점이다. 연구 보고서는 국정원이 한국 내수용 휴대폰을 타깃으로 삼는데 깊은 관심을 보였다고 지적하고, 또한 카카오톡과 안랩의 안티바이러스 프로그램과 같은 한국 소프트웨어를 타깃으로 삼는 일에 관심을 보였음을 밝혔다.
흥미롭게도 보고서는 지난해 세월호 참사를 언급하며 사고에 대한 정부의 부적절한 대응에 대통령과 정부가 비난을 받았던 당시 자신에 대한 루머를 엄중 단속하겠다는 의지를 박근혜 대통령이 밝힌 후 카카오톡이 정부로부터 통화내역을 공개하라는 압박을 받았던 사실도 상기시켰다. 시티즌 랩은 정부가 카카오톡을 통한 민간인 사찰에 줄곧 관심이 있어왔다는 사실을 이미 잘 알고 있었다.
이 보고서는 또한 국정원이 OTA 업데이트와 무선 네트워크를 통한 스파이웨어의 설치에 관심을 보였다고 전하며, 이에 사용한 미끼 콘텐츠들과 커맨드 앤 컨트롤(C&C) 서버, 해킹서버 로그파일과 아이피 주소를 공개했다.
시티즌 랩 연구보고서는 유출된 데이터만으로 특정 타깃을 확인할 수 없지만, 국정원의 해킹팀 RCS의 C&C 하부구조와 관련된 몇몇 기술적인 데이터를 제시하며 이것이 앞으로의 연구에 유용하게 쓰일 수 있음을 강조했다. 보고서는 추후 조사를 위해 다음과 같이 4가지 주요사항들에 초점을 맞출 것을 권하며 상세하게 씌어진 방대한 양의 글을 마무리했다.
첫째로, 두 도메인 publiczone.now.im과 hulahope.mooo.com과 관련된 지난해의 DNS 로그 파일을 입수할 것. 이것은 감염된 도구들의 아이피 주소를 밝혀줄 수 있을 것이다.
둘째로, 침입 발견 시스템 (Intrusion Detection Systems)을 운영하는 조직이나 기관들은 여기에 제시된 아이피 주소나 도메인 이름들을 클릭했는지 자신들의 로그 파일을 확인할 것.
셋째로, 테스트에 초점을 두고 있는 그룹들은 잠재적인 타깃의 이메일 계정과 그들의 SMS 로그, WAP 푸시 메시지 로그, 그리고 다른 모든 핸드폰 메시지 앱의 로그, 우리가 찾아낸 도메인 이름(또는 이 도메인 주소로 단축되는 Tinyurl 링크 같은 모든 링크)을 포함하고 있는 모든 이메일이나 메시지들, 그리고 해킹팀의 해킹 또는 스파이웨어와 매치되는 모든 첨부파일들을 스캔할 것.
마지막으로, 만약 국정원이 초기에 그들의 Bitcoin 도메인 주소 구매를 위해 단일 주소를 사용했다면, 도메인과 연관된 등록 시기를 이용해 Blockchain을 조사한다면 국정원의 Bitcoin 주소를 추적하는 것이 가능할 수 있을 것이다. 국정원의 Bitcoin 주소를 추적하면 국정원의 C&C 구조와 연관된 추가적인 요소를 밝힐 수 있다.
이 연구 보고서는 한국 국정원이 한국인에 대한 해킹에 관심을 가지고 있었다는 점과 실제 타깃이 있었음을 시사하는 정황적인 증거들을 제시했다는 점에서 큰 성과를 보였고, 앞으로도 국정원의 해킹에 대한 역추적을 계속할 것임을 약속했다.
다음은 뉴스프로가 번역한 시티즌 랩 보고서의 발췌 부분이다. (Summary(요약) 부분 번역은 시티즌 랩 한글 번역을 그대로 게재함)
번역 감수: 임옥
기사 바로가기 ☞ http://bit.ly/1N5ctvi
What we know about the South Korea NIS’s use of Hacking Team’s RCS
한국 국정원이 해킹팀 RCS를 사용한 것에 관한 조사
August 9, 2015
Authors: Bill Marczak, Sarah McKune
Summary
This research note outlines what we know about the use of Hacking Team’s Remote Control System (RCS) by South Korea’s National Intelligence Service (NIS). The note synthesizes information found in publicly leaked materials, as well as our own research.
The data available in the leaked Hacking Team files provides circumstantial evidence pointing to an interest in compromising individuals with ties to South Korea (i.e., Korean language speakers who use software or apps popular in South Korea, or South Korean editions of Samsung phones).
The leaked data alone cannot identify specific individuals targeted by NIS, nor prove misuse of the technology; further investigation and research is necessary to make those determinations. Moreover, the presence of intrusion software does not necessarily equate to its misuse, as such software may be utilized by intelligence or law enforcement agencies in a manner that conforms with rule of law and democratic principles. We are releasing this report in order to assist with further investigation and research into South Korea’s use of Hacking Team.
요약
본 연구노트는 한국 국정원의 해킹팀 RCS (Remote Control System) 사용에 관해 저희가 알고 있는 것을 개략적으로 기술한 것입니다. 노트에는 공개적으로 유출된 자료와 저희의 연구를 통해 발견된 정보가 함께 포함되어 있습니다.
중요한 것은, 유출된 해킹팀 파일에서 발견된 자료에는 국정원이 한국과 관련 있는 개인 (민간인) 들을 사찰하는 데 관심이 있었다는 정황적 증거들(사례 : 한국에서 대중적인 소프트웨어나 앱을 사용하는 한국어 사용자 또는 삼성의 내수용(한국 에디션) 스마트폰)이 포함되어 있다는 점입니다.
유출된 자료만으로는 국정원이 대상으로 삼은 특정인의 신원을 알 수 없으며, 해당 기술이 악용되었는지도 증명할 수 없습니다. 이를 확인하기 위해서는 추가적인 조사와 연구가 필요합니다. 또한 침입소프트웨어/해킹프로그램이 존재한다고 하여 악용되었을 것이라고 단정하기 어렵습니다. 정보기관이나 법집행기관이 이러한 프로그램을 적법한 절차와 민주적 원칙에 따라 사용할 수도 있기 때문입니다. 저희는 한국에서의 해킹팀 사용에 대한 추가적인 조사와 연구를 돕고자 본 보고서를 공개합니다.
Targets in South Korea?
한국 국내의 타깃들?
The data available in the leaked Hacking Team files provides circumstantial evidence pointing to an interest in compromising individuals with ties to South Korea (i.e., Korean language speakers who use software or apps popular in South Korea, or South Korean editions of Samsung phones). However, the leaked data does not identify the targets, or conclusively show whether these targets were inside or outside Korea.
유출된 해킹팀 파일에서 발견된 데이터는 국정원이 한국과 관련된 민간인들을 사찰하는 일에 관심이 있었음을 보여주는 정황적 증거(예를 들어 한국에서 인기 있는 소프트웨어나 앱, 또는 삼성의 내수용(한국 에디션) 스마트폰을 사용하는 한국어 사용자들인 사실 등)를 제공해준다. 하지만 유출된 자료는 대상이 된 타깃이 누구인지, 혹은 이들 타깃이 한국 국내에 있었는지 국외에 있었는지에 대해 확실히 알려주지 않는다.
Interest in Targeting South Korean-Edition Phones
한국 내수용 휴대폰을 타깃으로 하는 일에 관심이 있었다
The customer communicated with Hacking Team via the email accounts devilangel1004@gmail.com (“devilangel”) and smiolean@gmail.com. Devilangel filed several support tickets in August and September 2012 asking for support for call recording on “SHW-M series” (South Korean edition) Samsung phones, as well as, in one case, on “Galaxy S3 Chinese models.” Nanatech also contacted Hacking Team to ask for voice recording support for South Korean edition Galaxy 3 phones. In January 2013, Nanatech sent a South Korean edition Galaxy S3 to Hacking Team to help them support call recording. An August 2013 e-mail requests that Hacking Team test their Android exploit against South Korean edition phones.
이 고객은 이메일 계정 devilangel1004@gmail.com (“devilangel”)과 smiolean@gmail.com을 이용해 해킹팀과 교신을 나눴다. 데블엔젤은 2012년 8월과 9월에 “SHW-M 시리즈(한국 에디션) 삼성 휴대폰을, 또 다른 한 경우에는 “중국 모델 갤럭시 S3″의 통화기록에 대한 지원을 요구하는 신청서를 수차례 제출했다. 나나테크 또한 한국 에디션 갤럭시 3 휴대폰의 음성녹음에 대한 지원을 요구하며 해킹팀에 연락했다. 2013년 1월 나나테크는 한국 에디션 갤럭시 3 휴대폰을 해킹팀에 보내 통화 녹음에 대한 지원을 요청했다. 2013년 8월에는 이메일로 해킹팀에 한국 에디션 휴대폰에 대한 안드로이드 해킹을 테스트해줄 것을 요청한다.
Interest in Targeting South Korean Software (KakaoTalk and AhnLab Anti-Virus)
한국어 소프트웨어(카카오톡과 안랩 안티바이러스)를 타깃으로 삼는 일에 관심이 있었다
Devilangel requested that Hacking Team test their solution against the latest version of South Korean company AhnLab’s antivirus program, as well as popular Chinese anti-virus programs, mentioning that they have “some targets in China.”
데블엔젤은 한국 회사 안랩의 안티바이러스 프로그램 최신판, 그리고 “중국에도 일부 타깃”이 있다며 인기 높은 몇몇 중국 안티바이러스 프로그램을 대상으로 해킹을 테스트해줄 것을 요청했다.
According to a trip report filed by a Hacking Team employee who visited the Korean customer on 24 March 2014, the customer “asked about the progress of Kakao Talk which they mentioned is very commonly used in their country.” One of the “key takeaways” of the report was that “Kakao Talk is something which SKA is emphasising.” The customer also requested support for voice and message recording on the PC versions of KakaoTalk and LINE (a chat application similar to KakaoTalk developed by LINE Corporation, a Japan-based company).
2014년 3월 24일 한국의 고객을 방문한 해킹팀 직원이 작성한 여행보고서에 따르면 이 고객은 “자기 나라에서 아주 일반적으로 사용된다고 말하며 카카오톡의 진전 상황에 관해 물었다.” 이 보고서의 “핵심적 성과” 중의 하나는 “카카오톡이 SKA(역주: 한국군이라는 약자로 국정원을 가리킴)가 강조하는 것”이라는 사실이었다. 그 고객은 또한 카카오톡과 라인(일본에 기반을 둔 회사 라인사가 개발한 카카오톡과 흡사한 채팅 앱)의 PC판의 음성과 메시지 녹음에 대한 지원을 요청했다.
KakaoTalk is a chat program developed and owned by the South Korea-based company Daum-Kakao. A May 2015 article notes that KakaoTalk is the most popular chat application used in South Korea and has 35 million users in the country, representing 70% of South Korea’s population of 50 million.
카카오톡은 한국 기업인 다음-카카오가 개발하고 소유한 채팅 프로그램이다. 2015년 5월의 한 기사는 카카오톡이 한국에서 이용되고 있는 가장 대중적인 채팅앱이며, 5천만 한국 인구의 70%에 해당하는 3천5백만 명의 사용자를 보유하고 있다고 전했다.
KakaoTalk has previously been the target of government pressure. In 2014, President Park Geun-hye announced a crackdown on the spread of rumors online following criticism of how her administration handled the capsize of a South Korean ferry. As part of this crackdown, a South Korean student and an opposition politician involved in discussions and protests around the ferry incident were notified that law enforcement officials were given access to data from their KakaoTalk accounts.
카카오톡은 전에도 정부 압력 행사의 표적이 된 바 있다. 2014년 박근혜 대통령은 세월호 전복 사고에 대해 박근혜 정부가 대응한 방식을 두고 비난받은 후 온라인상에 루머가 퍼지는 것을 엄중 단속하겠다고 발표했다. 이러한 단속의 일환으로 세월호 사건에 대한 토론과 시위에 연루된 한 한국 학생과 야당 정치인은 경찰이 자신들의 카카오톡 계정에 있는 자료를 빼내 갔다는 통지를 받았다.
Interest in Deploying Spyware via OTA Updates and Wireless Networks
OTA 업데이트와 무선 네트워크를 통한 스파이웨어 설치에 관심이 있었다
Nanatech also twice inquired about “over the air” and Wi-Fi infections, mentioning they wanted to “remotely and forcibly ‘push’” the spyware “in a stealth manner onto the target’s device without his knowledge or cooperation.” The Korean customer expressed interest in Hacking Team’s TNI (Tactical Network Injector), a laptop that “provides everything needed in order to crack a WiFi network, join it, identify the interested target and deploy the RCS Agent.” The TNI can also create rogue WiFi networks, and can even work with wired networks given special infrastructure access. The Korean customer tested the TNI from April until July 2014, but ultimately decided not to purchase the TNI, citing issues including lack of reliable support for mobile phones.
나나테크 또한 “타깃이 알지 못하게, 또는 타깃의 협조를 구하는 일 없이 은밀한 방식으로 타깃의 장비에” 스파이웨어를 “원격으로 강제로 ‘심기’”를 원한다고 말하며 “오버 디 에어”(역주: OTA, 새로운 소프트웨어나 데이터를 휴대폰 혹은 태블릿에 무선으로 보내는 것을 말함)와 와이파이 감염에 대해 두 번 문의했다. 그 한국 고객은 “와이파이 네트워크에 뚫고 들어가 그 네트워크의 일원이 되며, 원하는 타깃을 확인하고 RCS 에이전트를 심는 데에 필요한 모든 것을 제공하는” 휴대용 컴퓨터인 해킹팀의 TNI(전략적 네트워크 주입기)에 관심을 표했다. TNI는 또한 가짜 무선 네트워크를 만들 수 있으며 심지어 주어진 특별한 접근 하부구조가 마련되어 있다면 유선 네트워크에도 작동할 수 있다. 한국 고객은 2014년 4월부터 7월까지 TNI를 실험했지만, 휴대폰에 대한 신뢰할 만한 지원이 없다는 점 등의 문제들을 언급하면서 결국 TNI를 구매하지 않기로 결정했다.
Use of Korean Bait Content
한국어 미끼 콘텐츠 사용
We identified several instances of the Korean customer using Korean language or Korea-themed bait content:
우리는 한국의 고객이 한국어로 씌어진, 혹은 한국을 주제로 한 미끼 콘텐츠를 사용하는 몇몇 사례들을 확인했다.
We observed a drive-by-download attack in 2014 that used a bait content file called “free korean movies.” (see: Attribution of “Drive-by-Download” Samples below)
우리는 “무료 한국영화”라는 미끼 파일을 사용한 2014년의 “드라이브 바이 다운로드(다운로드를 통한 바이러스 감염)” 공격을 보았다. (참고: “드라이브 바이 다운로드” 샘플들의 역추적이 아래에 있다)
In the leaked files, we found bait content including a file containing the names and phone numbers of Seoul University alumni in Southern California, and a file containing information pertaining to the sinking of the ROKS Cheonan, (and a Computer Science presentation about Machine Learning).
유출된 파일에서 우리는 캘리포니아 남부에 거주하는 서울대학교 동문들의 이름과 전화번호를 적은 파일과 한국 천안함 침몰과 관계된 정보 파일이 (그리고 기계 학습에 대한 컴퓨터 과학 발표 자료가) 들어있는 미끼 콘텐츠를 찾아냈다.
One bait content link contained a picture showing the schedule for the 2015 Geumcheon Harmony Cherry Blossom Festival in Seoul, while another one contained a link to a blog about reviews of rice cake dishes at Korean restaurants.
한 미끼 콘텐츠 링크는 2015년 서울 금천 하모니 벚꽃 축제 일정을 보여주는 사진을 가지고 있었고, 또 다른 하나는 한국 음식점들의 떡볶이 요리에 대한 리뷰를 실은 블로그의 링크를 포함하고 있었다.
One bait content link contained a link to a Google app on the Google Play Store called “Google Korean Input.”
한 미끼 콘텐츠 링크는 “구글 한국어 입력”이라는 구글 플레이 스토어에 있는 구글 앱 링크를 포함했다.
Attribution of “Drive-by-Download” Samples
“드라이브 바이 다운로드” 샘플의 역추적
The leaked Hacking Team e-mails allowed us the opportunity to attribute several samples of Hacking Team RCS spyware that we previously observed:
유출된 해킹팀의 이메일은 우리가 이전에 관찰했던 해킹팀의 RCS 스파이웨어의 몇몇 샘플이 어디에서 왔는지 역추적할 수 있는 기회를 제공했다.
SHA256: cbde6a113a54b8dcf122d9d879b7c21c8b03a89d792f49210bbe41e8466d121a
URL: http://free.dramakorea.asia/s/free_korean_movies.exe
URL: http://free.dramakorea.asia/s/free_korean_movies.exe
The command and control (C&C) server used in the sample is hulahope.mooo.com, which matches the C&C for numerous Android samples submitted by devilangel to Hacking Team for preparation of exploits. This sample was submitted to VirusTotal on 21 July 2014, and was submitted eight additional times to VirusTotal in the following month, including twice from Korea. This sample appears to have been served through a drive-by-download strategy, involving a file “x.js:”
샘플에 사용된 커맨드 앤 컨트롤(C&C) 서버는 hulahope.mooo.com이고, 이것은 해킹을 준비하며 데블엔젤이 해킹팀에 제출한 수많은 안드로이드 샘플을 위한 C&C서버와 일치한다. 이 샘플은 2014년 7월 21일에 바이러스토탈에 제출됐고 다음 달에도 한국으로부터 2 차례를 포함해 총 8 차례에 걸쳐 바이러스토탈에 추가로 제출됐다. 이 샘플은 “x.js:” 파일을 포함하며 드라이브 바이 다운로드 방법을 통해 작동한 듯 보인다.
SHA256: 8793d6eda87163b04a3db9251ff89b7c8a66500a4ed475c7026b5fc9a4c8abe9
On its own, the script causes an Internet Explorer user to see a popup asking them to authorize an ActiveX control. If the control is authorized, then the spyware is downloaded and executed.
그 자체로, 스크립트는 인터넷 익스플로러 사용자가 엑티브 엑스 컨트롤을 허용할 것인지 묻는 팝업을 보도록 만든다. 만약 그 컨트롤을 허용하면 이어서 스파이웨어가 다운로드되고 실행된다.
We also found the following sample:
우리는 또한 다음 샘플을 찾았다:
SHA256: 21e8d495bca60edc3b64ac970f9a9fa896d0eadc6491452ea937d64849b1f4a0
URL: http://shrook.mooo.com/cn/notify.exe
URL: http://shrook.mooo.com/cn/notify.exe
The sample was submitted to VirusTotal once on September 12, 2014, and was apparently served by the same drive-by-download javascript method. The C&C server is also hulahope.mooo.com.
샘플은 2014년 9월 12일 바이러스토탈에 한 번 제출됐고 같은 드라이브 바이 다운로드 자바스크립트 방법에 의해 작용하는 듯 보였다. C&C 서버는 역시 hulahope.mooo.com이다.
Exploit server Logs
해킹 서버 로그 파일
The leaked Hacking Team data contains files “Exploit_Delivery_Network_android.tar.gz,” and “Exploit_Delivery_Network_windows.tar.gz,” which appear to contain detailed information about each exploit link or document generated by Hacking Team upon customer request (for May and June 2015), as well as details of which IP addresses clicked on each link (or opened each document), whether the exploitation was successful or not, which website directed each visitor to the exploit (if applicable), as well as the language and model of the phone (in some cases of Android exploits). The log information is in “var/www/files/[ID]/log.jsonl,” where “[ID]” is the six character alphanumeric ID assigned to the exploit by Hacking Team.
유출된 해킹팀의 데이터에는 “Exploit_Delivery_Network_android.tar.gz,” 와 “Exploit_Delivery_Network_windows.tar.gz,”이 나와 있으며 이들은 (2015년 5월과 6월 동안의) 고객의 요청에 따라 해킹팀이 만든 각각의 해킹 링크나 문서에 관한 자세한 정보뿐만 아니라 어떤 IP 주소가 각 링크를 클릭했는지 (혹은 각 문서를 열었는지), 해킹이 성공했는지의 여부, (해킹 링크가 있는 경우라면) 어느 웹사이트가 개개의 방문객을 해킹 링크로 유도했는지, (안드로이드 해킹의 일부 사례에서처럼) 휴대폰의 언어와 모델에 대한 자세한 내용을 담고 있는 듯 보인다. 로그 정보는 “var/www/files/[ID]/log.jsonl”에 들어 있으며 여기에서 “[ID]”는 해킹팀에 의해 해킹에 부여된 여섯 개의 글자와 숫자로 된 아이디이다.
We present details on all clicks on Android exploit links below (we did not identify any Windows exploits requested by Hacking Team during this period). Hacking Team’s Android exploit involved a link sent to the target’s phone. If the target opened the link in the built-in Android web browser app, then the exploit may have installed Hacking Team’s RCS on their phone. Importantly, the list below excludes individuals who did not click on the link (as Hacking Team cannot record logs in this case):
우리는 안드로이드 해킹 링크를 클릭한 모두에 대한 자세한 정보를 아래에 소개한다 (이 기간 동안 해킹팀이 요청한 윈도우 해킹에 대해서는 밝히지 않았다). 해킹팀의 안드로이드 해킹은 타깃의 폰으로 보내진 링크와 연관됐다. 만약 그 타깃이 폰에 내장된 안드로이드 웹브라우저 앱에 있는 그 링크를 열었다면, 아마 이로써 해킹팀의 RCS가 그들의 폰에 설치됐을 수도 있다. 중요한 사실은 아래 리스트에는 링크를 클릭하지 않은 개인은 (해킹팀이 이 경우 로그를 기록할 수 없기 때문에) 제외된다는 점이다.
South Korean Targets?
한국인 타깃?
The data shows that there were two successful Android exploitations of phones with Korean IP addresses: one SK Telecom edition Galaxy Note 2 with SK Telecom IP address and Korean-Korea locale, one international Galaxy Note 2 with SK Telecom IP address and English-Phillippines locale. There was only one other successful exploit in May and June 2015: a Galaxy S3 Mini with a Russian IP address and Russian-Russia locale.
데이터는 한국 아이피 주소를 가진 안드로이드 폰의 두 번의 성공적인 해킹을 보여준다: 하나는 SK 텔레콤 아이피 주소를 가지고 있으며 한국어-한국어로 설정된 SK 텔레콤 갤럭시 노트 2이고, 다른 하나는 SK 텔레콤 아이피 주소를 가지고 있으며 영어-필리핀어로 설정된 갤럭시 노트 2 해외판이다. 또 하나의 유일한 성공적인 해킹은 2015년 5월과 6월에 있었다: 그것은 러시아 아이피 주소를 가지고 있으며 러시아어-러시아어로 설정된 갤럭시S3 미니였다.
One individual with a Ugandan IP address, and one individual with a German IP address, clicked on the link with their locale set to “Korean-Korea.”
우간다 아이피 주소를 가진 한 명과 독일 아이피 주소를 가진 한 명이 “한국어-한국어”로 설정된 링크를 클릭했다.
Command and Control and Exploit Infrastructure
커맨드 앤 컨트롤 그리고 해킹 하부구조
Using referrer URLs in the exploit server logs, as well as domain names and IP addresses found in the Korean customer’s malware samples, we were able to characterize their Hacking Team infrastructure.
해킹 서버 로그의 조회인 URL 및 한국인 고객의 악성코드 샘플에서 발견된 도메인 네임과 아이피 주소를 사용하여, 우리는 해킹팀 하부구조를 특정할 수 있었다.
We start from the domain name dns.cdc-asia.org, used in a referrer URL seen in the exploit logs. We assume that the Korean customer controlled dns.cdc-asia.org, because this URL referred to the exploit requested from Hacking Team, and was not sent to them by Hacking Team. We further assume that the customer controlled the domain name cdc-asia.org, as the registration date of the domain (June 3, 2015) matches the date that devilangel requested the exploit that was clicked on with referring domain dns.cdc-asia.org.
우리는 해킹 로그의 조회인 URL에서 사용된 도메인 네임 dns.cdc-asia.org로부터 시작한다. 우리는 한국인 고객이 dns.cdc-asia.org를 통제했다고 여기는데, 왜냐하면 이 URL이 해킹팀에 요청한 해킹에 연관되고, 해킹팀이 고객에게 보낸 것이 아니었기 때문이다. 우리는 더 나아가 고객이 도메인 네임 cdc-asia.org을 통제했다고 보는데, 도메인 등록일(2015년 6월 3일)이 dns.cdc-asia.org 도메인으로 클릭된 해킹을 데블엔젤이 요청한 날짜와 일치하기 때문이다.
We found the following registrant information for cdc-asia.org:
우리는 cdc-asia.org에 대해 다음과 같은 등록 정보를 발견했다.
Registrant Name:krystal Freeman
Registrant Organization:Co
Registrant Street: 136 Driftwood Road
Registrant City:CA
Registrant State/Province:CA
Registrant Postal Code:95129
Registrant Country:US
Registrant Phone:+1.14083799445
Registrant Email:insomnia214@outlook.com
Name Server:NS4.ITITCH.COM
Name Server:NS3.ITITCH.COM
Name Server:NS2.ITITCH.COM
Name Server:NS1.ITITCH.COM
Registrant Organization:Co
Registrant Street: 136 Driftwood Road
Registrant City:CA
Registrant State/Province:CA
Registrant Postal Code:95129
Registrant Country:US
Registrant Phone:+1.14083799445
Registrant Email:insomnia214@outlook.com
Name Server:NS4.ITITCH.COM
Name Server:NS3.ITITCH.COM
Name Server:NS2.ITITCH.COM
Name Server:NS1.ITITCH.COM
The name server suggests that the domain was registered with ititch.com, a service for purchasing domain names and web hosting using Bitcoin.
이 네임 서버는 도메인이 Bitcoin을 이용한 도메인 네임 구입과 웹호스팅 서비스인 ititch.com로 등록됐음을 보여준다.
We found two other domains registered with the same registrant email:
우리는 두 개의 다른 도메인이 같은 등록자 이메일로 등록된 것을 발견했다:
mytelkomsel.co
telegram-apps.org
telegram-apps.org
We plugged these domains, as well as cdc-asia.org, into PassiveTotal in order to identify other domains using the same IP address. PassiveTotal is an infrastructure analysis tool designed for security research. We found that cdc-asia.org resolved to 180.235.132.45, and two other websites resolved to this same address: droidlatestnews.com, and enjoyyourandroid.com.
우리는 같은 아이피 주소를 사용하는 다른 도메인들을 찾기 위해 패시브토탈에 cdc-asia.org뿐만 아니라 이 도메인들도 입력했다. 패시브토탈은 보안 연구를 위해 개발된 하부구조 분석 도구이다. 우리는 cdc-asia.org의 아이피 주소가 180.235.132.45이며, 다른 두 웹사이트 droidlatestnews.com과 enjoyyourandroid.com의 아이피 주소도 동일한 것을 발견했다.
Figure 9: Excerpt of PassiveTotal results for 180.235.132.45.
180.235.132.45에 대한 패시브토탈 결과 발췌
180.235.132.45에 대한 패시브토탈 결과 발췌
The initial registrant information for both domains was as follows:
두 도메인에 대한 초기 등록자 정보는 다음과 같다.
Registrant Name: Leonard Freeman
Registrant Organization: N/A
Registrant Street: 1203 Grove Street
Registrant City: Bethpage
Registrant State/Province: New York
Registrant Postal Code: 11714
Registrant Country: US
Registrant Phone: +1.4194763271
Registrant Email: mappingmechanism@hotmail.com
Registrant Organization: N/A
Registrant Street: 1203 Grove Street
Registrant City: Bethpage
Registrant State/Province: New York
Registrant Postal Code: 11714
Registrant Country: US
Registrant Phone: +1.4194763271
Registrant Email: mappingmechanism@hotmail.com
Name Server: domains4bitcoins.earth.orderbox-dns.com
Name Server: domains4bitcoins.mars.orderbox-dns.com
Name Server: domains4bitcoins.mercury.orderbox-dns.com
Name Server: domains4bitcoins.venus.orderbox-dns.com
Name Server: domains4bitcoins.mars.orderbox-dns.com
Name Server: domains4bitcoins.mercury.orderbox-dns.com
Name Server: domains4bitcoins.venus.orderbox-dns.com
The name server suggests that the domain was registered with domains4bitcoins.com, a service for purchasing domain names and web hosting using Bitcoin.
이 네임 서버는 도메인이 Bitcoin을 이용한 도메인 네임 구입과 웹호스팅 서비스인 domains4bitcoins.com으로 등록됐음을 보여준다.
Note that the registrant name, “Leonard Freeman,” uses the same surname, “Freeman,” as the registrant for the previous three domains “Krystal Freeman.” The registrant email address for both domains was updated after July 8, 2015 (after the Hacking Team leak) to the following:
등록자 이름 “레오나드 프리맨”이 이전 세 도메인의 등록자 이름인 “크리스탈 프리맨”과 같은 성인 “프리맨”을 사용하는 것에 주목하라. 두 도메인에 등록된 이메일 주소는 (해킹팀 유출 사건 이후) 2015년 7월 8일 다음과 같이 업데이트됐다.
Registrant Name: Alexis
Registrant Organization: N/A
Registrant Street: 4403
Registrant City: Los Angeles
Registrant State/Province: California
Registrant Postal Code: 90017
Registrant Country: US
Registrant Phone: +1.9174849999
Registrant Email: prmgrabzi@hotmail.com
Registrant Organization: N/A
Registrant Street: 4403
Registrant City: Los Angeles
Registrant State/Province: California
Registrant Postal Code: 90017
Registrant Country: US
Registrant Phone: +1.9174849999
Registrant Email: prmgrabzi@hotmail.com
We plugged droidlatestnews.com and enjoyyourandroid.com into PassiveTotal, and found that these resolved to 95.215.46.224. We found several other domains that resolved to this IP address:
우리는 droidlatestnews.com과 enjoyyourandroid.com을 패시브토탈에 입력했고 이들의 아이피 주소가 95.215.46.224인 것을 발견했다. 우리는 같은 아이피 주소를 가진 몇몇 다른 도메인들을 발견했다:
bijiaexhibition.com
samsung-update.net
getnewandroid.com
secure.anyurl.org
update.indoorapps.com
samsung-update.net
getnewandroid.com
secure.anyurl.org
update.indoorapps.com
We also checked registrant email addresses and phone numbers to find additional domains:
우리는 또한 등록자 이메일 주소와 전화번호를 체크해서 추가 도메인들을 발견했다.
facebook-update.info
samsung-update.net
play-mob.org
samsung-update.net
play-mob.org
It is noteworthy that play-mob.org was registered on 8 April 2015, a day after devilangel requested Android exploits redirecting to “play.mob.org”. We provide a list of suspected domain names linked to the Korean customer below, including the domain names above, as well as domain names from RCS samples submitted by devilangel to Hacking Team, and RCS samples detected by Hacking Team on VirusTotal and attributed to the same customer:
데블엔젤이 안드로이드 해킹이 “play.mob.org”로 전송되도록 요청한 후 하루 뒤인 2015년 4월 8일 play-mob.org가 등록됐는 것은 주목할 만하다. 우리는 위의 도메인 이름과 더불어, 데블앤젤이 해킹팀에 제출한 RCS 샘플과, 또 바이러스토탈에서 해킹팀이 찾아냈고, 같은 고객의 것으로 역추적되는 RCS 샘플에 있는 도메인 이름들을 포함해 한국 고객과 연관된 것으로 추정되는 도메인 이름들의 명단을 아래에 제공한다.
cdc-asia.org
mytelkomsel.co
telegram-apps.org
bijiaexhibition.com
samsung-update.net
getnewandroid.com
facebook-update.info
samsung-update.net
play-mob.org
boardingpasstohome.com
mywealthpop.com
secure.anyurl.org
update.indoorapps.com
video.sexyhub.co
link.sexyhub.co
shrook.mooo.com
free.dramakorea.asia
nkpro.lalanews.net
androidgplay.us.to
hulahope.mooo.com
publiczone.now.im
reflect.dalnet.ca
pantheon.tobban.com
mytelkomsel.co
telegram-apps.org
bijiaexhibition.com
samsung-update.net
getnewandroid.com
facebook-update.info
samsung-update.net
play-mob.org
boardingpasstohome.com
mywealthpop.com
secure.anyurl.org
update.indoorapps.com
video.sexyhub.co
link.sexyhub.co
shrook.mooo.com
free.dramakorea.asia
nkpro.lalanews.net
androidgplay.us.to
hulahope.mooo.com
publiczone.now.im
reflect.dalnet.ca
pantheon.tobban.com
The domain names above were associated with the following e-mail addresses:
위의 도메인 이름들은 다음 이메일 주소와 연관되어 있다.
checkonet
wothree@hotmail.com
mappingmechanism@hotmail.com
watermelonholicq@eclipso.email
insomnia214@outlook.com
prmgrabzi@hotmail.com
wothree@hotmail.com
mappingmechanism@hotmail.com
watermelonholicq@eclipso.email
insomnia214@outlook.com
prmgrabzi@hotmail.com
We also identified the following IP addresses associated with the Korean customer’s infrastructure:
우리는 또한 다음 아이피 주소가 한국 고객의 하부구조와 연관된 것을 발견했다.
131.72.137.10
198.105.125.107
198.105.125.108
131.72.137.11
198.105.122.117
185.7.35.79
131.72.137.104
131.72.137.101
95.215.46.224
180.235.132.45
103.13.228.240
185.10.57.150
46.19.143.244
37.46.114.43
5.199.166.180
198.105.125.107
198.105.125.108
131.72.137.11
198.105.122.117
185.7.35.79
131.72.137.104
131.72.137.101
95.215.46.224
180.235.132.45
103.13.228.240
185.10.57.150
46.19.143.244
37.46.114.43
5.199.166.180
It also appeared that the Korean customer’s exploits were served from the following IP addresses, which may belong to Hacking Team, and thus have also been used to serve exploits for other Hacking Team customers:
또한 한국 고객의 해킹 장치는 해킹팀이 소유하고 있을 것으로 보이는 아래의 아이피 주소들을 사용했으며, 따라서 해킹팀의 다른 고객들의 해킹을 위해서도 사용됐다:
46.38.63.194
188.166.5.201
46.38.63.112
46.251.239.150
212.117.180.108
188.166.5.201
46.38.63.112
46.251.239.150
212.117.180.108
In our 2014 report, “Mapping Hacking Team’s ‘Untraceable’ Spyware,” we identified the following IP addresses associated with the South Korean customer:
우리의 2014년 보고서 “해킹팀의 ‘추적 불가능한’ 스파이웨어 발견”에서, 우리는 한국 고객과 관련된 다음 아이피 주소를 발견했다.
211.51.14.129
101.99.83.12
5.255.87.146
198.144.178.104
198.144.178.118
204.188.221.198
185.7.35.79
185.7.35.80
64.32.12.75
124.217.245.64
185.29.8.202
101.99.83.12
5.255.87.146
198.144.178.104
198.144.178.118
204.188.221.198
185.7.35.79
185.7.35.80
64.32.12.75
124.217.245.64
185.29.8.202
Conclusion and Further Investigation
결론, 그리고 앞으로의 조사
We have outlined circumstantial evidence indicating that NIS was interested in targets with links to South Korea, and in two cases infected devices belonging to “real targets” inside South Korea.
우리는 국정원이 한국 링크를 가진 타깃에 관심이 있었다는 점, 그리고 두 사례에서는 감염된 휴대폰이 한국 내 “실제 타깃”의 것이었음을 암시하는 정황적인 증거를 제시했다.
The leaked data alone cannot identify specific targets. Thus, we presented some technical data regarding the NIS’s Hacking Team RCS command and control infrastructure, which may be useful in further investigation.
유출된 데이터 자체로는 특정 타깃을 확인할 수 없다. 그러므로 우리는 국정원의 해킹팀 RCS의 C&C 하부구조와 관련된 몇몇 기술적인 데이터를 제시했으며 이는 앞으로의 연구에 유용하게 쓰일 수 있다.
We briefly outline some promising avenues for further investigation:
우리는 앞으로의 조사를 위한 몇몇 가능성 있는 방안들을 간략히 서술하기로 한다:
First, obtaining DNS logs over the past year associated with the domains publiczone.now.im and hulahope.mooo.com would be very helpful, as this would reveal IP addresses of infected devices.
첫째로, 두 도메인 publiczone.now.im과 hulahope.mooo.com과 관련된 지난해의 DNS 로그 파일을 입수하는 것은 매우 유용할 것이며, 이것은 감염된 도구들의 아이피 주소를 밝혀줄 수 있을 것이다.
Second, organizations or institutions that run Intrusion Detection Systems should check their logs for hits on the IP addresses and domain names provided herein.
둘째로, 침입 발견 시스템 (Intrusion Detection Systems)을 운영하는 조직이나 기관들은 여기에 제시된 아이피 주소나 도메인 이름들을 클릭했는지 자신들의 로그 파일을 확인해야 한다.
Third, groups focused on testing should scan the e-mail accounts of potential targets, as well as their SMS message logs, WAP push message logs, and logs of any other mobile messaging apps, for any e-mails or messages containing the domain names we identified (or any links, such as Tinyurl links, that unshorten to these domains), and any attachments matching Hacking Team’s exploits or spyware.
셋째로, 테스트에 초점을 두고 있는 그룹들은 잠재적인 타깃의 이메일 계정과 그들의 SMS 로그, WAP 푸시 메시지 로그, 그리고 다른 모든 핸드폰 메시지 앱의 로그, 우리가 찾아낸 도메인 이름(또는 이 도메인 주소로 단축되는 Tinyurl 링크 같은 모든 링크)을 포함하고 있는 모든 이메일이나 메시지들, 그리고 해킹팀의 해킹 또는 스파이웨어와 매치되는 모든 첨부파일들을 스캔해야 한다.
Finally, if NIS initiated their Bitcoin domain name purchases from a single address, it may be possible to trace NIS’s Bitcoin address by searching the Blockchain using the registration times associated with the domains. Tracing NIS’s Bitcoin address could illuminate further elements associated with their C&C architecture.
마지막으로, 만약 국정원이 초기에 그들의 Bitcoin 도메인 주소 구매를 위해 단일 주소를 사용했다면, 도메인과 연관된 등록 시기를 이용해 Blockchain을 조사한다면 국정원의 Bitcoin 주소를 추적하는 것이 가능할 수 있다. 국정원의 Bitcoin 주소를 추적하는 것은 그들의 C&C 구조와 연관된 추가적인 요소를 밝힐 수 있다.
No comments:
Post a Comment