상세 컨텐츠

본문 제목

잔인한 캥거루(Brutal Kangaroo): CIA가 개발한 인터넷이 연결 되지 않은 네트워크를 은밀히 해킹하는 악성코드

국내외 보안동향

by 알약(Alyac) 2017. 6. 23. 16:35

본문

Brutal Kangaroo: CIA-developed Malware for Hacking Air-Gapped Networks Covertly


WikiLeaks가 Vault7 시리즈의 일환으로 “썸드라이브(thumb drives)를 이용해 주로 기업이나 주요 인프라들에서 사용 되는 인터넷이 연결 되지 않는 폐쇄된 네트워크”를 타겟으로 하는 CIA의 툴을 공개하였습니다.


인터넷이나 다른 외부 네트워크들로부터 격리 된 Air-gapped 컴퓨터들은 가장 안전한 컴퓨터들로 알려져 있었습니다.


Brutal Kangaroo(v1.2.1)이라 명명된 이 툴은 2012년 CIA가 직접적으로 접근 하지 않고도 폐쇄적인 네트워크나 인터넷에 연결 되지 않은 에어갭 컴퓨터들에 침투하도록 설계한 것으로 알려졌습니다.


이전 버전의 Brutal Kangaroo는 EZCheese라 명명 되었으며, 2015년 3월까지 제로데이 취약점을 악용했었습니다. 하지만 새로운 버전은 “OS의 library-ms 기능과 관련 된 알려지지 않은 링크 파일 취약점 (Lachesis/RiverJack)”을 사용합니다.


Air-Gap 공격의 작동 원리



<이미지 출처  : http://thehackernews.com/2017/06/wikileaks-Brutal-Kangaroo-airgap-malware.html>


대부분의 air-gap 악성코드 기술들과 같이, 이 해킹툴은 타겟 조직의 인터넷에 연결 된 컴퓨터를 먼저 감염시키고 Brutal Kangaroo 악성코드를 설치합니다.


<이미지 출처  : http://thehackernews.com/2017/06/wikileaks-Brutal-Kangaroo-airgap-malware.html>


타겟 조직 내의 인터넷에 연결 된 PC를 감염시키기 어려울지라도, 그들은 해당 조직의 직원 한명의 컴퓨터를 감염시키고 그의 컴퓨터에 USB를 삽입할 때까지 기다립니다.


사용자가 USB 스틱을 감염 된 컴퓨터에 삽입하자 마자, 서버 툴인 Shattered Assurance가 USB 드라이브를 ‘Drifting Deadline’이라는 별도의 악성코드에 감염시킵니다.(최신 버전은 Emotional Simian이라고도 알려져 있습니다.)


<이미지 출처  : http://thehackernews.com/2017/06/wikileaks-Brutal-Kangaroo-airgap-malware.html>


이 USB 드라이브는 마이크로소프트 Windows OS 취약점의 도움을 받아 사용자의 조작 없이도 감염됩니다.


감염 된 USB 드라이브가 인터넷과 격리 된 에어갭 컴퓨터와 데이터를 공유하는데 사용 되면, 이 악성코드는 해당 시스템도 감염시키게 됩니다.


WikiLeaks는 “폐쇄적인 네트워크의 컴퓨터 다수들을 CIA가 제어하는 경우, 이들은 작업들 및 데이터 교환을 조정하는 비밀 네트워크를 형성한다. 문서에는 명시되어 있지는 않지만, 폐쇄적인 네트워크를 해킹하는 방식은 Stuxnet과 매우 유사하다.”고 밝혔습니다.


유출 된 CIA 매뉴얼에서는 “Brutal Kangaroo의 컴포넌트들은 타겟의 폐쇄적인 네트워크에서 은밀한 네트워크를 생성해 조사, 디렉토리 리스팅, 임의의 실행파일등을 실행하는 기능을 제공한다.”고 표시되어 있었습니다.


<이미지 출처  : http://thehackernews.com/2017/06/wikileaks-Brutal-Kangaroo-airgap-malware.html>


이후 악성코드는 감염 된 에어갭 컴퓨터들로부터 데이터들을 수집하고, Brutal Kangaroo의 모듈인 “Broken Promise”는 유용한 정보를 찾기 위해 데이터를 분석합니다.






출처 :
http://thehackernews.com/2017/06/wikileaks-Brutal-Kangaroo-airgap-malware.html
https://wikileaks.org/vault7/#Brutal Kangaroo

관련글 더보기

댓글 영역