위키리스트, 미국 CIA가 WiFi 장치를 통해 사용자 위치 추적에 사용한 ELSA 악성코드 공개

개요

 

위키리스트, 사용자 위치를 추적하기 위해 CIA가 사용한 ELSA 악성코드의 설명문 게시

 

 

 

주요내용

 

ElSA 악성코드는 지리적 위치 기능을 구현하고 무선 AP(엑세스포인트)를 스캔하고 ESS* 식별자, MAC 주소 및 신호 강도 등의 정보를 기록 등 데이터를 탈취

* ESS : 하나 또는 여러개의 AP(엑세스포인트)를 이용하여 구성된 네트워크

- 감염된 시스템이 인터넷에 연결되어있는 경우 구글 또는 마이크로스프트社 데이터베이스를 이용하여 WiFi 장치의 위치를 확인하여 시간 및 위도 데이터를 기록

< ELSA 악성코드 작동 방식 >

개요

 

위키리스트, 사용자 위치를 추적하기 위해 CIA가 사용한 ELSA 악성코드의 설명문 게시

 

 

 

주요내용

 

ElSA 악성코드는 지리적 위치 기능을 구현하고 무선 AP(엑세스포인트)를 스캔하고 ESS* 식별자, MAC 주소 및 신호 강도 등의 정보를 기록 등 데이터를 탈취

* ESS : 하나 또는 여러개의 AP(엑세스포인트)를 이용하여 구성된 네트워크

- 감염된 시스템이 인터넷에 연결되어있는 경우 구글 또는 마이크로스프트社 데이터베이스를 이용하여 WiFi 장치의 위치를 확인하여 시간 및 위도 데이터를 기록

< ELSA 악성코드 작동 방식 >

A : Operator Terminal, B: Windows Target, C : Wifi Access Points, D : 3rd Party Database

 

수집된 데이터는 암호화되어 별도의 서버로 저장되지 않으며, 감염된 시스템에 저장되며 CIA 해커는 익스플로잇 및 백도어를 사용하여 감염된 시스템에 접속하여 수집된 데이터를 다운로드 등 탈취

① A는 익스플로잇을 사용하여 타켓 시스템(B.) 장악

② B. 장악한 시스템을 통한 가까운 WiFi 엑세스 포인트를 스캔 및 정보 수집

③ 악성코드에 감염된 시스템(B)를 통한 지도 데이터베이스(D)에 접속하여 시간 및 위도의 정보 확인

④ CIA 해커는 악성코드 감염시스템(B)에 접근하여 수집된 데이터를 탈취

 

시사점

 

국내 대상으로 취약한 인터넷공유기 대상 DDoS 공격, DNS 변조, 통신 내용 유출 등 해킹 공격이 지속적으로 발생함에 따라 개인/기업은 접근성, 접근통제(허용된 사용자만 접속 가능), 서비스 보안관리(불필요한 접속포트 차단 등), 암호화, 최신 펌웨어 유지 등 보안 강화 노력 필요

[출처]

1. http://thehackernews.com/2017/06/wikileaks-cia-malware-geolocation.html

2. http://securityaffairs.co/wordpress/60511/malware/cia-elsa-malware.html