개요
위키리스트, 사용자 위치를 추적하기 위해 CIA가 사용한 ELSA 악성코드의 설명문 게시
주요내용
ElSA 악성코드는 지리적 위치 기능을 구현하고 무선 AP(엑세스포인트)를 스캔하고 ESS* 식별자, MAC 주소 및 신호 강도 등의 정보를 기록 등 데이터를 탈취
* ESS : 하나 또는 여러개의 AP(엑세스포인트)를 이용하여 구성된 네트워크
- 감염된 시스템이 인터넷에 연결되어있는 경우 구글 또는 마이크로스프트社 데이터베이스를 이용하여 WiFi 장치의 위치를 확인하여 시간 및 위도 데이터를 기록
개요
위키리스트, 사용자 위치를 추적하기 위해 CIA가 사용한 ELSA 악성코드의 설명문 게시
주요내용
ElSA 악성코드는 지리적 위치 기능을 구현하고 무선 AP(엑세스포인트)를 스캔하고 ESS* 식별자, MAC 주소 및 신호 강도 등의 정보를 기록 등 데이터를 탈취
* ESS : 하나 또는 여러개의 AP(엑세스포인트)를 이용하여 구성된 네트워크
- 감염된 시스템이 인터넷에 연결되어있는 경우 구글 또는 마이크로스프트社 데이터베이스를 이용하여 WiFi 장치의 위치를 확인하여 시간 및 위도 데이터를 기록
< ELSA 악성코드 작동 방식 >
A : Operator Terminal, B: Windows Target, C : Wifi Access Points, D : 3rd Party Database
수집된 데이터는 암호화되어 별도의 서버로 저장되지 않으며, 감염된 시스템에 저장되며 CIA 해커는 익스플로잇 및 백도어를 사용하여 감염된 시스템에 접속하여 수집된 데이터를 다운로드 등 탈취
① A는 익스플로잇을 사용하여 타켓 시스템(B.) 장악
② B. 장악한 시스템을 통한 가까운 WiFi 엑세스 포인트를 스캔 및 정보 수집
③ 악성코드에 감염된 시스템(B)를 통한 지도 데이터베이스(D)에 접속하여 시간 및 위도의 정보 확인
④ CIA 해커는 악성코드 감염시스템(B)에 접근하여 수집된 데이터를 탈취
시사점
국내 대상으로 취약한 인터넷공유기 대상 DDoS 공격, DNS 변조, 통신 내용 유출 등 해킹 공격이 지속적으로 발생함에 따라 개인/기업은 접근성, 접근통제(허용된 사용자만 접속 가능), 서비스 보안관리(불필요한 접속포트 차단 등), 암호화, 최신 펌웨어 유지 등 보안 강화 노력 필요
[출처]
1. http://thehackernews.com/2017/06/wikileaks-cia-malware-geolocation.html
2. http://securityaffairs.co/wordpress/60511/malware/cia-elsa-malware.html
'Security_News > 해외보안소식' 카테고리의 다른 글
| 페티야 : 목적은 랜섬웨어가 아니라 파괴목적 (0) | 2017.07.01 |
|---|---|
| 미국 1억 9천만 명의 유권자 개인정보 노출 (0) | 2017.06.30 |
| 위키리크스: CIA 망분리된 컴퓨터 감염 기법 (0) | 2017.06.29 |
| 워너크라이 변종 랜섬웨어, 유럽 전역 강타 (0) | 2017.06.28 |
| 혼다, 워너크라이 감염으로 일부공장 중단 (0) | 2017.06.28 |
