오늘 (20일) 14시를 시작으로, 주요 언론사 및 금융사 내부 인트라넷 전산망이 마비되는 일이 있었습니다.

우선 금융권에서는 농협은행 및 농협생명 보험, 신한은행, 제주은행등 피해받은 전산망이 상당히 많았습니다.


금융사들과함께 주요 언론사들의 전산망도 피해를 입었는데요, 

여의도에 위치한 KBS. MBC 그리고 YTN 총 3개의 언론사가 피해를 입었습니다.



한편, 오후 늦게 LG U+ 그룹웨어 사용시에 나오는 화면이 공개되었습니다.


'whois'는 누구인가?


우리는 해킹에 관심을 가지고 있다. 

이것은 우리의 움직임의 시작에 불과하다.

당신들의 개인정보와 데이타를 가지고있다.

불행이도, 우리는 그것들을 모두 지웠다.

위는 다시 돌아온다.


이 해킹사고가 진짜 'whois' 란 팀의 짓이라는 보장은 없습니다.

이 팀이 북한의 해커부대인지 아닌지도 모르고요.


과연 이 3.20 전산망 해킹사고는 진짜 이 해킹팀의 

"실력과시" 일 뿐일까요?


우선 이번 공격은 단순히 많은 패킷을 보내 서비스를 방해하는

DDOS, 서비스거부공격은 아닙니다.

단순 외부 웹서버가 아닌 내부 사내 정보처리용 인트라넷을 공격하고, 

정보를 빼냈다는건 DDOS로 보기 힘듭니다.


일부에선 APT 공격이라는 말이 있습니다.

APT 공격은 오랫동안 타깃을 정해 정보를 모으고, 

전용 악성코드를 만들어 특정 타깃을 공격 하는 방법을 말합니다.


저는 개인적으로 이 APT 공격이라는데 믿음이 가는데요,

외부에서 쉽게 접근하기 힘든 인트라넷이라는 점, 그리고

주요 언론사 및 금융사를 노렷다는 점을 보았을때는 오랫동안 계획해왔던 공격이라는 느낌을 받았습니다.


또한 MBC 에서 보도한 바로는 컴퓨터 운영의 기본정보를 담고있는

마스터 부트 레코드가 엉뚱한 16진수 숫자로 채워져있다고합니다.

텍스트로 변환하면 "HASTATI" 라고 하는데요,

하스타티는 로마군 보 병대의 3개 대열중 맨 앞에서 싸우는 부대라고합니다.


하스타티가 제일 먼저 싸우고, 무너질경우 그 뒤의 2열 프린키패스가, 

그다음은 제 3열인 트리아리가 싸우게 된다고 합니다.

이는 09년 DDOS 대란처럼 2차 공격이 올 수도 있다고 하네요...


지금 계속 분석 보고서가 올라오고있는데요, 

Red Alert Facebook 페이지 에서 공유가 되고 있습니다.

직접 배포가 불가능하여 링크만 드리겠습니다.

새로운 내용이있을때 계속 업데이트 되고 있고요, 지금 현재 3차 까지 나왔습니다. 


http://training.nshc.net/KOR/Document/virus/3-20130320_320CyberTerrorIncidentResponseReportbyRedAlert.pdf


또 다른 분석 보고서가 올라왔는데요, 잉카 인터넷 시큐리티 대응센터 엔진개발팀의 보고서입니다.

 

https://t1.daumcdn.net/cfile/tistory/2264C94A5149B51F0F?original


아래는 와우해커의 보고서입니다.


http://wowhacker.org/files/0320_cyberterror_stolenbyte.pdf


피해입은 시스템들이 빨리 복구되고 정상화되고,

악성코드 분석도 빨리 이루어져 앞으로 이런 피해를 막았으면 합니다.


'Information Security > Trend' 카테고리의 다른 글

3.20 언론사 및 금융권 전산망 마비  (2) 2013.03.20
  1. RedAlert 2013.03.25 15:17

    안녕하십니까. Red Alert 팀입니다. 우선 저희 보고서에 관심가져주셔서 감사합니다. 다름이 아니라, '3.20 사이버 테러 대응 보고서' 작성시 언론보도 내용을 인용하는 과정에서 "롯데카드"를 언급했는데 이는 사실과 전혀 무관한 내용으로써, 수정을 요청드립니다. 저희 보고서를 인용하신 분들께서 혹시 모를 피해를 입으실까 우려되어 일일이 찾아다니며, 안내해드리고 있으니 협조해주시면 감사하겠습니다.

+ Recent posts