국정원이 사용한 미끼 콘텐츠, 도메인 및 아이피 주소 공개
국정원, OTA 업데이트와 와이파이 무선 네트워크 해킹에 관심
국정원, 카카오톡 및 안랩의 안티바이러스 해킹에 관심
국정원의 한국인 실제타깃 두 차례 해킹 성공 사례 공개

시티즌 랩은 9일 한국 국정원의 해킹팀 RCS 사용에 대한 개략적인 연구노트와 함께 추가적인 조사와 연구를 돕고자 자체 보고서를 통해 이제까지 밝혀진 정보를 공개했다.

특히 이번 보고서에서 중요한 것은 한국 국정원이 한국과 관련 있는 민간인이나 개인을 상대로 사찰을 했다는 정황적 증거와 사례가 공개됐다는 점이다. 연구 보고서는 국정원이 한국 내수용 휴대폰을 타깃으로 삼는데 깊은 관심을 보였다고 지적하고, 또한 카카오톡과 안랩의 안티바이러스 프로그램과 같은 한국 소프트웨어를 타깃으로 삼는 일에 관심을 보였음을 밝혔다.

흥미롭게도 보고서는 지난해 세월호 참사를 언급하며 사고에 대한 정부의 부적절한 대응에 대통령과 정부가 비난을 받았던 당시 자신에 대한 루머를 엄중 단속하겠다는 의지를 박근혜 대통령이 밝힌 후 카카오톡이 정부로부터 통화내역을 공개하라는 압박을 받았던 사실도 상기시켰다. 시티즌 랩은 정부가 카카오톡을 통한 민간인 사찰에 줄곧 관심이 있어왔다는 사실을 이미 잘 알고 있었다.

이 보고서는 또한 국정원이 OTA 업데이트와 무선 네트워크를 통한 스파이웨어의 설치에 관심을 보였다고 전하며, 이에 사용한 미끼 콘텐츠들과 커맨드 앤 컨트롤(C&C) 서버, 해킹서버 로그파일과 아이피 주소를 공개했다.

시티즌 랩 연구보고서는 유출된 데이터만으로 특정 타깃을 확인할 수 없지만, 국정원의 해킹팀 RCS의 C&C 하부구조와 관련된 몇몇 기술적인 데이터를 제시하며 이것이 앞으로의 연구에 유용하게 쓰일 수 있음을 강조했다. 보고서는 추후 조사를 위해 다음과 같이 4가지 주요사항들에 초점을 맞출 것을 권하며 상세하게 씌어진 방대한 양의 글을 마무리했다.

첫째로, 두 도메인 publiczone.now.im과 hulahope.mooo.com과 관련된 지난해의 DNS 로그 파일을 입수할 것. 이것은 감염된 도구들의 아이피 주소를 밝혀줄 수 있을 것이다.

둘째로, 침입 발견 시스템 (Intrusion Detection Systems)을 운영하는 조직이나 기관들은 여기에 제시된 아이피 주소나 도메인 이름들을 클릭했는지 자신들의 로그 파일을 확인할 것.

셋째로, 테스트에 초점을 두고 있는 그룹들은 잠재적인 타깃의 이메일 계정과 그들의 SMS 로그, WAP 푸시 메시지 로그, 그리고 다른 모든 핸드폰 메시지 앱의 로그, 우리가 찾아낸 도메인 이름(또는 이 도메인 주소로 단축되는 Tinyurl 링크 같은 모든 링크)을 포함하고 있는 모든 이메일이나 메시지들, 그리고 해킹팀의 해킹 또는 스파이웨어와 매치되는 모든 첨부파일들을 스캔할 것.

마지막으로, 만약 국정원이 초기에 그들의 Bitcoin 도메인 주소 구매를 위해 단일 주소를 사용했다면, 도메인과 연관된 등록 시기를 이용해 Blockchain을 조사한다면 국정원의 Bitcoin 주소를 추적하는 것이 가능할 수 있을 것이다. 국정원의 Bitcoin 주소를 추적하면 국정원의 C&C 구조와 연관된 추가적인 요소를 밝힐 수 있다.

이 연구 보고서는 한국 국정원이 한국인에 대한 해킹에 관심을 가지고 있었다는 점과 실제 타깃이 있었음을 시사하는 정황적인 증거들을 제시했다는 점에서 큰 성과를 보였고, 앞으로도 국정원의 해킹에 대한 역추적을 계속할 것임을 약속했다.

다음은 뉴스프로가 번역한 시티즌 랩 보고서의 발췌 부분이다. (Summary(요약) 부분 번역은 시티즌 랩 한글 번역을 그대로 게재함)

번역 감수:  임옥

기사 바로가기 ☞ http://bit.ly/1N5ctvi

 

What we know about the South Korea NIS’s use of Hacking Team’s RCS

한국 국정원이 해킹팀 RCS를 사용한 것에 관한 조사

August 9, 2015

Authors: Bill Marczak, Sarah McKune

Summary

This research note outlines what we know about the use of Hacking Team’s Remote Control System (RCS) by South Korea’s National Intelligence Service (NIS). The note synthesizes information found in publicly leaked materials, as well as our own research.

The data available in the leaked Hacking Team files provides circumstantial evidence pointing to an interest in compromising individuals with ties to South Korea (i.e., Korean language speakers who use software or apps popular in South Korea, or South Korean editions of Samsung phones).

The leaked data alone cannot identify specific individuals targeted by NIS, nor prove misuse of the technology; further investigation and research is necessary to make those determinations. Moreover, the presence of intrusion software does not necessarily equate to its misuse, as such software may be utilized by intelligence or law enforcement agencies in a manner that conforms with rule of law and democratic principles. We are releasing this report in order to assist with further investigation and research into South Korea’s use of Hacking Team.

요약

본 연구노트는 한국 국정원의 해킹팀 RCS (Remote Control System) 사용에 관해 저희가 알고 있는 것을 개략적으로 기술한 것입니다. 노트에는 공개적으로 유출된 자료와 저희의 연구를 통해 발견된 정보가 함께 포함되어 있습니다.

중요한 것은, 유출된 해킹팀 파일에서 발견된 자료에는 국정원이 한국과 관련 있는 개인 (민간인) 들을 사찰하는 데 관심이 있었다는 정황적 증거들(사례 : 한국에서 대중적인 소프트웨어나 앱을 사용하는 한국어 사용자 또는 삼성의 내수용(한국 에디션) 스마트폰)이 포함되어 있다는 점입니다.

유출된 자료만으로는 국정원이 대상으로 삼은 특정인의 신원을 알 수 없으며, 해당 기술이 악용되었는지도 증명할 수 없습니다. 이를 확인하기 위해서는 추가적인 조사와 연구가 필요합니다. 또한 침입소프트웨어/해킹프로그램이 존재한다고 하여 악용되었을 것이라고 단정하기 어렵습니다. 정보기관이나 법집행기관이 이러한 프로그램을 적법한 절차와 민주적 원칙에 따라 사용할 수도 있기 때문입니다. 저희는 한국에서의 해킹팀 사용에 대한 추가적인 조사와 연구를 돕고자 본 보고서를 공개합니다.

Targets in South Korea?

한국 국내의 타깃들?

The data available in the leaked Hacking Team files provides circumstantial evidence pointing to an interest in compromising individuals with ties to South Korea (i.e., Korean language speakers who use software or apps popular in South Korea, or South Korean editions of Samsung phones). However, the leaked data does not identify the targets, or conclusively show whether these targets were inside or outside Korea.

유출된 해킹팀 파일에서 발견된 데이터는 국정원이 한국과 관련된 민간인들을 사찰하는 일에 관심이 있었음을 보여주는 정황적 증거(예를 들어 한국에서 인기 있는 소프트웨어나 앱, 또는 삼성의 내수용(한국 에디션) 스마트폰을 사용하는 한국어 사용자들인 사실 등)를 제공해준다. 하지만 유출된 자료는 대상이 된 타깃이 누구인지, 혹은 이들 타깃이 한국 국내에 있었는지 국외에 있었는지에 대해 확실히 알려주지 않는다.

Interest in Targeting South Korean-Edition Phones

한국 내수용 휴대폰을 타깃으로 하는 일에 관심이 있었다

The customer communicated with Hacking Team via the email accounts devilangel1004@gmail.com (“devilangel”) and smiolean@gmail.com. Devilangel filed several support tickets in August and September 2012 asking for support for call recording on “SHW-M series” (South Korean edition) Samsung phones, as well as, in one case, on “Galaxy S3 Chinese models.” Nanatech also contacted Hacking Team to ask for voice recording support for South Korean edition Galaxy 3 phones. In January 2013, Nanatech sent a South Korean edition Galaxy S3 to Hacking Team to help them support call recording. An August 2013 e-mail requests that Hacking Team test their Android exploit against South Korean edition phones.

이 고객은 이메일 계정 devilangel1004@gmail.com (“devilangel”)과 smiolean@gmail.com을 이용해 해킹팀과 교신을 나눴다. 데블엔젤은 2012년 8월과 9월에 “SHW-M 시리즈(한국 에디션) 삼성 휴대폰을, 또 다른 한 경우에는 “중국 모델 갤럭시 S3″의 통화기록에 대한 지원을 요구하는 신청서를 수차례 제출했다. 나나테크 또한 한국 에디션 갤럭시 3 휴대폰의 음성녹음에 대한 지원을 요구하며 해킹팀에 연락했다. 2013년 1월 나나테크는 한국 에디션 갤럭시 3 휴대폰을 해킹팀에 보내 통화 녹음에 대한 지원을 요청했다. 2013년 8월에는 이메일로 해킹팀에 한국 에디션 휴대폰에 대한 안드로이드 해킹을 테스트해줄 것을 요청한다.

Interest in Targeting South Korean Software (KakaoTalk and AhnLab Anti-Virus)

한국어 소프트웨어(카카오톡과 안랩 안티바이러스)를 타깃으로 삼는 일에 관심이 있었다

Devilangel requested that Hacking Team test their solution against the latest version of South Korean company AhnLab’s antivirus program, as well as popular Chinese anti-virus programs, mentioning that they have “some targets in China.”

데블엔젤은 한국 회사 안랩의 안티바이러스 프로그램 최신판, 그리고 “중국에도 일부 타깃”이 있다며 인기 높은 몇몇 중국 안티바이러스 프로그램을 대상으로 해킹을 테스트해줄 것을 요청했다.

According to a trip report filed by a Hacking Team employee who visited the Korean customer on 24 March 2014, the customer “asked about the progress of Kakao Talk which they mentioned is very commonly used in their country.” One of the “key takeaways” of the report was that “Kakao Talk is something which SKA is emphasising.” The customer also requested support for voice and message recording on the PC versions of KakaoTalk and LINE (a chat application similar to KakaoTalk developed by LINE Corporation, a Japan-based company).

2014년 3월 24일 한국의 고객을 방문한 해킹팀 직원이 작성한 여행보고서에 따르면 이 고객은 “자기 나라에서 아주 일반적으로 사용된다고 말하며 카카오톡의 진전 상황에 관해 물었다.” 이 보고서의 “핵심적 성과” 중의 하나는 “카카오톡이 SKA(역주: 한국군이라는 약자로 국정원을 가리킴)가 강조하는 것”이라는 사실이었다. 그 고객은 또한 카카오톡과 라인(일본에 기반을 둔 회사 라인사가 개발한 카카오톡과 흡사한 채팅 앱)의 PC판의 음성과 메시지 녹음에 대한 지원을 요청했다.

KakaoTalk is a chat program developed and owned by the South Korea-based company Daum-Kakao. A May 2015 article notes that KakaoTalk is the most popular chat application used in South Korea and has 35 million users in the country, representing 70% of South Korea’s population of 50 million.

카카오톡은 한국 기업인 다음-카카오가 개발하고 소유한 채팅 프로그램이다. 2015년 5월의 한 기사는 카카오톡이 한국에서 이용되고 있는 가장 대중적인 채팅앱이며, 5천만 한국 인구의 70%에 해당하는 3천5백만 명의 사용자를 보유하고 있다고 전했다.

KakaoTalk has previously been the target of government pressure. In 2014, President Park Geun-hye announced a crackdown on the spread of rumors online following criticism of how her administration handled the capsize of a South Korean ferry. As part of this crackdown, a South Korean student and an opposition politician involved in discussions and protests around the ferry incident were notified that law enforcement officials were given access to data from their KakaoTalk accounts.

카카오톡은 전에도 정부 압력 행사의 표적이 된 바 있다. 2014년 박근혜 대통령은 세월호 전복 사고에 대해 박근혜 정부가 대응한 방식을 두고 비난받은 후 온라인상에 루머가 퍼지는 것을 엄중 단속하겠다고 발표했다. 이러한 단속의 일환으로 세월호 사건에 대한 토론과 시위에 연루된 한 한국 학생과 야당 정치인은 경찰이 자신들의 카카오톡 계정에 있는 자료를 빼내 갔다는 통지를 받았다.

Interest in Deploying Spyware via OTA Updates and Wireless Networks

OTA 업데이트와 무선 네트워크를 통한 스파이웨어 설치에 관심이 있었다

Nanatech also twice inquired about “over the air” and Wi-Fi infections, mentioning they wanted to “remotely and forcibly ‘push’” the spyware “in a stealth manner onto the target’s device without his knowledge or cooperation.” The Korean customer expressed interest in Hacking Team’s TNI (Tactical Network Injector), a laptop that “provides everything needed in order to crack a WiFi network, join it, identify the interested target and deploy the RCS Agent.” The TNI can also create rogue WiFi networks, and can even work with wired networks given special infrastructure access. The Korean customer tested the TNI from April until July 2014, but ultimately decided not to purchase the TNI, citing issues including lack of reliable support for mobile phones.

나나테크 또한 “타깃이 알지 못하게, 또는 타깃의 협조를 구하는 일 없이 은밀한 방식으로 타깃의 장비에” 스파이웨어를 “원격으로 강제로 ‘심기’”를 원한다고 말하며 “오버 디 에어”(역주: OTA, 새로운 소프트웨어나 데이터를 휴대폰 혹은 태블릿에 무선으로 보내는 것을 말함)와 와이파이 감염에 대해 두 번 문의했다. 그 한국 고객은 “와이파이 네트워크에 뚫고 들어가 그 네트워크의 일원이 되며, 원하는 타깃을 확인하고 RCS 에이전트를 심는 데에 필요한 모든 것을 제공하는” 휴대용 컴퓨터인 해킹팀의 TNI(전략적 네트워크 주입기)에 관심을 표했다. TNI는 또한 가짜 무선 네트워크를 만들 수 있으며 심지어 주어진 특별한 접근 하부구조가 마련되어 있다면 유선 네트워크에도 작동할 수 있다. 한국 고객은 2014년 4월부터 7월까지 TNI를 실험했지만, 휴대폰에 대한 신뢰할 만한 지원이 없다는 점 등의 문제들을 언급하면서 결국 TNI를 구매하지 않기로 결정했다.

Use of Korean Bait Content

한국어 미끼 콘텐츠 사용

We identified several instances of the Korean customer using Korean language or Korea-themed bait content:

우리는 한국의 고객이 한국어로 씌어진, 혹은 한국을 주제로 한 미끼 콘텐츠를 사용하는 몇몇 사례들을 확인했다.

We observed a drive-by-download attack in 2014 that used a bait content file called “free korean movies.” (see: Attribution of “Drive-by-Download” Samples below)

우리는 “무료 한국영화”라는 미끼 파일을 사용한 2014년의 “드라이브 바이 다운로드(다운로드를 통한 바이러스 감염)” 공격을 보았다. (참고: “드라이브 바이 다운로드” 샘플들의 역추적이 아래에 있다)

In the leaked files, we found bait content including a file containing the names and phone numbers of Seoul University alumni in Southern California, and a file containing information pertaining to the sinking of the ROKS Cheonan, (and a Computer Science presentation about Machine Learning).

유출된 파일에서 우리는 캘리포니아 남부에 거주하는 서울대학교 동문들의 이름과 전화번호를 적은 파일과 한국 천안함 침몰과 관계된 정보 파일이 (그리고 기계 학습에 대한 컴퓨터 과학 발표 자료가) 들어있는 미끼 콘텐츠를 찾아냈다.

One bait content link contained a picture showing the schedule for the 2015 Geumcheon Harmony Cherry Blossom Festival in Seoul, while another one contained a link to a blog about reviews of rice cake dishes at Korean restaurants.

한 미끼 콘텐츠 링크는 2015년 서울 금천 하모니 벚꽃 축제 일정을 보여주는 사진을 가지고 있었고, 또 다른 하나는 한국 음식점들의 떡볶이 요리에 대한 리뷰를 실은 블로그의 링크를 포함하고 있었다.

One bait content link contained a link to a Google app on the Google Play Store called “Google Korean Input.”

한 미끼 콘텐츠 링크는 “구글 한국어 입력”이라는 구글 플레이 스토어에 있는 구글 앱 링크를 포함했다.

Attribution of “Drive-by-Download” Samples

“드라이브 바이 다운로드” 샘플의 역추적

The leaked Hacking Team e-mails allowed us the opportunity to attribute several samples of Hacking Team RCS spyware that we previously observed:

유출된 해킹팀의 이메일은 우리가 이전에 관찰했던 해킹팀의 RCS 스파이웨어의 몇몇 샘플이 어디에서 왔는지 역추적할 수 있는 기회를 제공했다.

SHA256: cbde6a113a54b8dcf122d9d879b7c21c8b03a89d792f49210bbe41e8466d121a
URL: http://free.dramakorea.asia/s/free_korean_movies.exe

The command and control (C&C) server used in the sample is hulahope.mooo.com, which matches the C&C for numerous Android samples submitted by devilangel to Hacking Team for preparation of exploits. This sample was submitted to VirusTotal on 21 July 2014, and was submitted eight additional times to VirusTotal in the following month, including twice from Korea. This sample appears to have been served through a drive-by-download strategy, involving a file “x.js:”

샘플에 사용된 커맨드 앤 컨트롤(C&C) 서버는 hulahope.mooo.com이고, 이것은 해킹을 준비하며 데블엔젤이 해킹팀에 제출한 수많은 안드로이드 샘플을 위한 C&C서버와 일치한다. 이 샘플은 2014년 7월 21일에 바이러스토탈에 제출됐고 다음 달에도 한국으로부터 2 차례를 포함해 총 8 차례에 걸쳐 바이러스토탈에 추가로 제출됐다. 이 샘플은 “x.js:” 파일을 포함하며 드라이브 바이 다운로드 방법을 통해 작동한 듯 보인다.

SHA256: 8793d6eda87163b04a3db9251ff89b7c8a66500a4ed475c7026b5fc9a4c8abe9

On its own, the script causes an Internet Explorer user to see a popup asking them to authorize an ActiveX control. If the control is authorized, then the spyware is downloaded and executed.

그 자체로, 스크립트는 인터넷 익스플로러 사용자가 엑티브 엑스 컨트롤을 허용할 것인지 묻는 팝업을 보도록 만든다. 만약 그 컨트롤을 허용하면 이어서 스파이웨어가 다운로드되고 실행된다.

We also found the following sample:

우리는 또한 다음 샘플을 찾았다:

SHA256: 21e8d495bca60edc3b64ac970f9a9fa896d0eadc6491452ea937d64849b1f4a0
URL: http://shrook.mooo.com/cn/notify.exe

The sample was submitted to VirusTotal once on September 12, 2014, and was apparently served by the same drive-by-download javascript method. The C&C server is also hulahope.mooo.com.

샘플은 2014년 9월 12일 바이러스토탈에 한 번 제출됐고 같은 드라이브 바이 다운로드 자바스크립트 방법에 의해 작용하는 듯 보였다. C&C 서버는 역시 hulahope.mooo.com이다.

Exploit server Logs

해킹 서버 로그 파일

The leaked Hacking Team data contains files “Exploit_Delivery_Network_android.tar.gz,” and “Exploit_Delivery_Network_windows.tar.gz,” which appear to contain detailed information about each exploit link or document generated by Hacking Team upon customer request (for May and June 2015), as well as details of which IP addresses clicked on each link (or opened each document), whether the exploitation was successful or not, which website directed each visitor to the exploit (if applicable), as well as the language and model of the phone (in some cases of Android exploits). The log information is in “var/www/files/[ID]/log.jsonl,” where “[ID]” is the six character alphanumeric ID assigned to the exploit by Hacking Team.

유출된 해킹팀의 데이터에는 “Exploit_Delivery_Network_android.tar.gz,” 와 “Exploit_Delivery_Network_windows.tar.gz,”이 나와 있으며 이들은 (2015년 5월과 6월 동안의) 고객의 요청에 따라 해킹팀이 만든 각각의 해킹 링크나 문서에 관한 자세한 정보뿐만 아니라 어떤 IP 주소가 각 링크를 클릭했는지 (혹은 각 문서를 열었는지), 해킹이 성공했는지의 여부, (해킹 링크가 있는 경우라면) 어느 웹사이트가 개개의 방문객을 해킹 링크로 유도했는지, (안드로이드 해킹의 일부 사례에서처럼) 휴대폰의 언어와 모델에 대한 자세한 내용을 담고 있는 듯 보인다. 로그 정보는 “var/www/files/[ID]/log.jsonl”에 들어 있으며 여기에서 “[ID]”는 해킹팀에 의해 해킹에 부여된 여섯 개의 글자와 숫자로 된 아이디이다.

We present details on all clicks on Android exploit links below (we did not identify any Windows exploits requested by Hacking Team during this period). Hacking Team’s Android exploit involved a link sent to the target’s phone. If the target opened the link in the built-in Android web browser app, then the exploit may have installed Hacking Team’s RCS on their phone. Importantly, the list below excludes individuals who did not click on the link (as Hacking Team cannot record logs in this case):

우리는 안드로이드 해킹 링크를 클릭한 모두에 대한 자세한 정보를 아래에 소개한다 (이 기간 동안 해킹팀이 요청한 윈도우 해킹에 대해서는 밝히지 않았다). 해킹팀의 안드로이드 해킹은 타깃의 폰으로 보내진 링크와 연관됐다. 만약 그 타깃이 폰에 내장된 안드로이드 웹브라우저 앱에 있는 그 링크를 열었다면, 아마 이로써 해킹팀의 RCS가 그들의 폰에 설치됐을 수도 있다. 중요한 사실은 아래 리스트에는 링크를 클릭하지 않은 개인은 (해킹팀이 이 경우 로그를 기록할 수 없기 때문에) 제외된다는 점이다.

[순천구례곡성담양인터넷뉴스 ] 이 기자의 다른 기사 보기 <저작권자ⓒ인터넷핫뉴스 & schinews.com 무단전재-재배포금지> BEST 뉴스 정전에서 평화로: 미국 주 ·샘 박 조지아주 하원의원, “美, 북한에 대한 단계적 조치 실행해야” ·코로나19 조기 극복 위한 각계 따뜻한 손길 답지(遝至) ·전남순천의료원 입원 대구 코로나19 마지막 환자 퇴원 귀향 ·정세균 국무총리 대전신용보증재단 방문 ·‘여수~남해 해저터널 국책사업으로 추진’ 목소리 높아     회사소개 | 광고안내 | 제휴·광고문의 | 기사제보 | 다이렉트결제 | 고객센터 | 저작권정책 | 개인정보취급방침 | 청소년보호정책 | 독자권익보호위원회 | 이메일주소무단수집거부 | RSS 모바일 버전으로 보기