상세 컨텐츠

본문 제목

해커들, IR CCTV 카메라를 사용해 인터넷이 연결 되지 않은 컴퓨터로부터 데이터 훔쳐

국내외 보안동향

by 알약(Alyac) 2017. 9. 22. 10:41

본문

Hacker Can Steal Data from Air-Gapped Computers Using IR CCTV Cameras


인터넷에 연결 되지 않고, 로컬 네트워크로부터도 물리적으로 분리 된 ‘에어갭’ 컴퓨터들은 침입 하기 어려운 가장 안전한 컴퓨터로 간주 됩니다.


그러나, 연구원들은 최근 몇 년 동안 모든 가능성있는 공격 시나리오를 동원해 이러한 격리 된 네트워크의 보안을 무너뜨리려 시도했습니다.


이스라엘의 Ben-Gurion 대학의 보안 연구원들은 이전에도 에어갭 컴퓨터들로부터 기밀 정보들을 추출하는 몇 가지 방법을 시연한 바 있습니다.


그리고 지금, 같은 대학의 연구원들이 에어갭 컴퓨터들로부터 기밀 정보를 훔치는 또 다른 방법을 발견했습니다. 이번에는 밤에도 영상을 찍기 위한 적외선 기능이 있는 CCTV 카메라를 이용했습니다.


연구원들은 이 새로운 공격 시나리오를 개발 후, aIR-Jumper라 명명했습니다. 이 공격에는 감염 된 에어갭 컴퓨터(데이터를 훔칠 대상), 감염 된 CCTV 네트워크(적어도 하나의 CCTV가 감염 된 컴퓨터와 마주하고 있어야 하며, 하나는 건물 밖에 있어야 함)가 필요하며, 두 네트워크는 서로 분리 되어 있으며 둘 다 인터넷에 연결 되어 있지 않다고 가정합니다.


에어갭 컴퓨터와 CCTV 네트워크가 어떻게 멀웨어에 감염되었는지에 대한 과정은 제외하고, 새로운 연구는 일단 감염 된 후 멀웨어가 어떻게 훔친 데이터를 건물 밖의 공격자에게 전달하는지에 대해서만 초점을 맞추어 진행 되었습니다.


에어갭 컴퓨터와 CCTV 네트워크에 설치 된 aIR-Jumper 멀웨어가 데이터를 읽고 보내기 위해, IR LED들을 모스부호와 같은 패턴으로 깜빡여 파일을 바이너리 데이터(0과 1)로 전송합니다.


<이미지 출처 : http://thehackernews.com/2017/09/airgap-network-malware-hacking.html>



비디오카메라의 데이터는 초당 20비트의 속도로 수십 미터 밖의 공격자까지, 공격자가 비디오 카메라에게는 초당 100비트의 속도로 데이터를 전송할 수 있습니다. 이는 완전히 어두운 환경에서도 가능합니다.


이 공격은 파일을 바이너리 데이터 형태로 훔치는 것이기 때문에 대용량 파일을 훔칠 수는 없지만, 타겟 컴퓨터에 저장 된 암호, 암호화 키, PIN 코드 및 기타 중요 데이터들을 훔칠 수 있습니다.


공격자들은 두 개의 시연 비디오를 발표했습니다.


첫 번째 비디오에서는, 연구원들은 에어갭 컴퓨터에 설치 된 멀웨어가 어떻게 훔친 데이터를 바이너리 셩태로 변환해 LED를 깜빡이게 되는지 보여줍니다. 감염 된 카메라는 이 패턴을 캡쳐하고 카메라에 설치 된 멀웨어는 이 모스코드를 바이너리 데이터로 변환합니다.

영상: https://www.youtube.com/watch?v=auoYKSzdOj4


두 번째 비디오에서는, 건물 외부(주차장)에 설치 된 내부 연결 카메라가 훔친 바이너리 데이터를 IR LED를 통해 모스코드와 같은 패턴으로 차 안에 있는 공격자들에게 전송하는 것을 보여줍니다.

영상: https://www.youtube.com/watch?v=om5fNqKjj2M


공격자들은 그들의 카메라를 사용해 이 CCTV의 깜빡임을 캡쳐 후 나중에 이 데이터를 복호화 하기만 하면 됩니다.


여기에서 감염 된 CCTV 카메라는 에어갭 컴퓨터와 원격 공격자 사이의 다리 역할을 하며, 은밀한 양방향 채널을 제공합니다.


aIR-Jumper 공격에 대한 더욱 자세한 정보는 'aIR-Jumper: Covert Air-Gap Exfiltration/Infiltration via Security Cameras & Infrared (IR)'[PDF] 논문에서 찾아볼 수 있습니다.






출처 :

http://thehackernews.com/2017/09/airgap-network-malware-hacking.html

https://arxiv.org/ftp/arxiv/papers/1709/1709.05742.pdf



관련글 더보기

댓글 영역