How CIA Agents Covertly Steal Data From Hacked Smartphones (Without Internet)
WikiLeaks가 금일 Vault 7 시리즈의 일환으로 16번째 정보를 공개 했습니다. 이번엔 공개한 정보는, 새로운 악성코드나 해킹툴이 아닌 CIA 요원들이 이미 해킹 된 스마트폰에서 데이터를 수집 및 전달하는 방법에 관한 내용입니다.
가능한 시나리오를 정리해 보자면 다음과 같습니다.
CIA Highrise 프로젝트의 동작 원리
일반적으로 이 악성코드는 기기를 해킹한 후 인터넷 연결을 사용해 훔친 데이터를 공격자의 서버(listening posts)로 전송합니다. 하지만 스마트폰의 경우, SMS를 사용하는 등 다른 대안들이 존재합니다.
하지만 SMS를 통해 훔친 데이터를 전송하기 위해서는, 다수의 기기들로부터 받은 대량의 문자 메세지들을 정렬 및 분석하는 등의 작업을 해야하는 문제점이 있습니다.
이러한 문제를 해결하기 위해, CIA는 해킹된 기기와 listening post 서버 사이의 SMS 프록시 역할을 하는 단순한 안드로이드 앱인 Highrise를 만들었습니다.
유출된 CIA 메뉴얼에는 “SMS 메시지를 이용해 통신하는 IOC 툴들은 많이 있지만, HighRise는 송/수신하는 SMS 메시지들을 인터넷 LP로 프록싱하는 방법으로 기기와 listening post 사이를 완전히 분리해 주는 SMS 프록시이다.”고 설명 되어 있습니다.
매뉴얼을 읽고 이해한대로 설명하자면, CIA 요원들은 그들의 안드로이드 기기에 해킹 된 기기로부터 SMS를 통해 훔친 데이터를 수신하도록 설정 된 “TideCheck”라는 어플리케이션을 설치해야합니다.
TideCheck 앱의 알려진 최신 버전인 HighRise v2.0은 2013년 개발 되었으며, 안드로이드 4.0 ~ 4.3을 사용하는 기기에서 동작합니다. 하지만 이미 최신 안드로이드 OS에서도 동작하는 버전이 개발되었을 것이라고 추측합니다.
<이미지 출처 : http://thehackernews.com/2017/07/cia-smartphone-hacking-tool.html>
일단 사용자 디바이스에 앱이 설치되면 패스워드를 요구하는데, 패스워드는 “inshallah”입니다. 로그인 후 이는 아래 3개의 옵션을 표시합니다:
Initialize: 서비스 실행
Show/Edit configuration: HTTPS를 사용해야만 하는 listening post 서버 URL 설정을 포함한 기본 세팅 구성
Send Message: CIA 요원들이 수동으로(선택사항) 짧은 메시지를 listening post 서버에 보내도록 허용
초기화 및 설정이 제대로 완료 되면, 이 앱은 해킹 된 기기로부터 수신 되는 메시지를 모니터링 하기 위해 백그라운드에서 계속적으로 실행 됩니다. 메시지를 받으면, 모든 메시지를 TLS/SSL로 보호된 인터넷 통신 채널을 통해 CIA의 listening post 서버로 보냅니다.
출처 :
http://thehackernews.com/2017/07/cia-smartphone-hacking-tool.html
NemucodAES 랜섬웨어와 Kovter 악성코드, 동일한 캠페인을 통해 배포 돼 (0) | 2017.07.17 |
---|---|
망분리 환경을 타겟으로 하는 APT 공격 정리 (4) | 2017.07.17 |
1,400만 버라이존 고객들의 데이터, 보호 되지 않은 AWS 서버에 노출 돼 (0) | 2017.07.14 |
미국 원자력 기업 공격사건 배후에는 러시아가? (0) | 2017.07.13 |
Adwind RAT이 돌아왔다! 크로스 플랫폼 멀웨어, 항공 우주 업계 노려 (0) | 2017.07.13 |
댓글 영역