본문내용 바로가기 메인메뉴 바로가기 하단내용 바로가기

최신동향

최신동향 상세보기
위키리스트, 미국 CIA가 WiFi 장치를 통해 사용자 위치 추적에 사용한 ELSA 악성코드 공개2017.06.30
개요
 
  • 위키리스트, 사용자 위치를 추적하기 위해 CIA가 사용한 ELSA 악성코드의 설명문 게시
     
 
 

주요내용

 

  • ElSA 악성코드는 지리적 위치 기능을 구현하고 무선 AP(엑세스포인트)를 스캔하고 ESS* 식별자, MAC 주소 및 신호 강도 등의 정보를 기록 등 데이터를 탈취
    * ESS : 하나 또는 여러개의 AP(엑세스포인트)를 이용하여 구성된 네트워크
    - 감염된 시스템이 인터넷에 연결되어있는 경우 구글 또는 마이크로스프트社 데이터베이스를 이용하여 WiFi 장치의 위치를 확인하여 시간 및 위도 데이터를 기록

< ELSA 악성코드 작동 방식 >
A : Operator Terminal, B: Windows Target, C : Wifi Access Points, D : 3rd Party Database
 
  1. 수집된 데이터는 암호화되어 별도의 서버로 저장되지 않으며, 감염된 시스템에 저장되며 CIA 해커는 익스플로잇 및 백도어를 사용하여 감염된 시스템에 접속하여 수집된 데이터를 다운로드 등 탈취
  • ① A는 익스플로잇을 사용하여 타켓 시스템(B.) 장악
    ② B. 장악한 시스템을 통한 가까운 WiFi 엑세스 포인트를 스캔 및 정보 수집
    ③ 악성코드에 감염된 시스템(B)를 통한 지도 데이터베이스(D)에 접속하여 시간 및 위도의 정보 확인
    ④ CIA 해커는 악성코드 감염시스템(B)에 접근하여 수집된 데이터를 탈취


 

시사점

 

  1. 국내 대상으로 취약한 인터넷공유기 대상 DDoS 공격, DNS 변조, 통신 내용 유출 등 해킹 공격이 지속적으로 발생함에 따라 개인/기업은 접근성, 접근통제(허용된 사용자만 접속 가능), 서비스 보안관리(불필요한 접속포트 차단 등), 암호화, 최신 펌웨어 유지 등 보안 강화 노력 필요



[출처]
1. http://thehackernews.com/2017/06/wikileaks-cia-malware-geolocation.html
2. http://securityaffairs.co/wordpress/60511/malware/cia-elsa-malware.html



작성 : 침해사고분석단 분석2팀
키워드 ELSA , WiFI , 악성코드 , 위키리스트