정체를 알 수 없는 해커들이 미국 NSA가 운영하는 것으로 알려진 스파이 그룹 시스템을 해킹해 해킹툴들을 훔쳤다고 주장하며 이 파일들을 경매를 통해 판매하겠다고 밝혔다. ‘쉐도우 브로커스’라는 이 해커들은 8월 15일 SNS 서비스인 텀블러 사이트를 통해 자신들이 Equation Group 시스템을 해킹해 다수의 해킹툴을 훔쳤다고 밝혔다. 해커들은 자신들이 정말 해킹했다는 것을 증명하기 위해 샘플 파일을 무료로 공개했다.
Equation Group을 정말로 NSA가 운영하는지 여부는 아직 증명된 바 없다. 작년 2월 카스퍼스키랩은 Equation Group에 관한 연구 보고서를 발표한 바 있다. 카스퍼스키랩은 보고서를 통해 Equation Group은 스턱스넷, 두쿠, 플레임 등을 개발 운영하는 전 세계적으로 가장 고도의 실력을 지닌 스파이 그룹이라고 평한 바 있다. Equation Group의 실체는 에드워드 스노든이 폭로한 정보와도 일치한다.
카스퍼스키랩은 작년 자사 시스템이 해킹당했다는 것을 깨닫고 몇개월 동안 지켜봤는데 해커들은 들킨 걸 알자 흔적을 모두 삭제하고 완전히 사라졌다고 발표한 바 있다. 당시 발표는 이 해커 그룹이 Equation Group이며 배후가 NSA라고 밝히지는 않았지만 카스퍼스키랩이 제시한 자료들은 NSA가 배후임을 말해주고 있었다. RAM에만 상주해 재부팅 할때마다 삭제되지만 네트워크에 연결된 다른 컴퓨터를 통해 다시 감염되어 계속 살아있는 APT 공격을 가능하게 했던 해당 윈도우 취약점은 마이크로소프트사에 의해 패치되었다.
‘쉐도우 브로커스’ 해커들은 훔친 데이터와 샘플 파일을 깃허브에 공개(현재는 차단됨)했다. 파일은 무료 공개용 파일과 경매용 파일 두 종류로 구성되어 있다. 경매용 파일은 암호화 되어 열어볼 수 없으며 해커들은 경매에서 가장 많은 액수의 비트코인을 보낸 사람에게 암호화 해제 방법을 보내주겠다고 전했다. 해커들에 의하면 경매용 툴은 2010년 이란 원자력 시설을 침입하는 데 사용된 스턱스넷보다 더 “훌륭한” 해킹툴이라고 한다.
샘플 파일을 분석한 보안 연구원들에 의하면 쉐도우 브로커스의 주장이 사기로 보이지는 않는다는 데 의견이 모아지고 있다. 토론토 대학교 시티즌랩 보안 연구원 Claudio Guarnieri는 샘플 파일은 바이너리 빌드, 설치 스크립트, C&C 설정으로 아주 흥미로운 데이터를 포함하고 있으며, 아마도 NSA가 어떤 시스템을 공격했는데 공격받은 측에서 공격 근원지를 알아내 역으로 공격해 침입에 성공한 것으로 보인다고 말했다.
Comae Technologies의 Matt Suiche에 의하면 무료 샘플 파일에는 시스코, 주니퍼, 포티게이트, 중국 네트워크 보안회사 Topsec 등의 회사들이 판매하는 장비 공격용 익스플로잇이 포함되어 있다고 한다. 해당 공격툴들은 오래된 버전 공격용으로 제로데이는 아니지만 Metasploit에 포함되지 않는 등 현재까지 알려지지 않은 익스플로잇으로 보인다고 말했다.
해커들이 제시하는 경매 방식은 좀 특이하고 미숙해 보인다. 특정 주소로 비트코인을 가장 많이 보낸 사람에게 암호화 해제 방법을 알려주겠다는 것인데. 낙찰되지 않는 나머지 사람들에게 비트코인을 되돌려주지 않을 것이며, 경매 종료 시점도 자신들이 원하는 ‘아무때나’로 못박았다. 해커들은 FAQ를 통해 보상을 원한다면 위험을 감수해야 한다며 이기지 못하면 보상은 없다고 말했다.
해커들이 공개한 목록 이미지 파일은 2013년 스노든이 발표한 툴 리스트와도 부분적으로 일치하는 것으로 보인다. 샘플 파일들을 검토한 전문가들은 NSA가 사용하는 파일일 가능성이 크며, 설사 사기라고 해도 상당히 정교한 공을 들인 것으로 보인다고 말했다.
Mirror: http://pastebin.com/NDTU5kJQ
