위키리크스, CIA 해킹 ‘볼트7’ 시리즈 잇따라 공개

- 하이라이즈, 레이시온, 임페리얼 이어 3일 덤보 폭로

강지현 기자= 위키리크스가 CIA의 사이버 공격 무기를 잇따라 공개하고 있다.

올 3월부터 하이브, 스크리블스, 판데믹, 보던스파이, 하이라이즈, 레이시온 UCL 등 CIA의 볼트7(Vault7) 무기들을 폭로한 위키리크스는 최근 임페리얼(Imperial)과 덤보(Dumbo)를 추가로 공개했다.

볼트7은 위키리크스가 폭로한 CIA의 해킹 프로그램이자 사이버 공격 무기 8,761건을 의미한다. CIA의 비밀 문건 중에는 CIA가 직접 수년간 개발한 멀웨어 등 공격 코드 수천만 건이 포함돼 있다.

볼트7에는 다양한 해킹 툴이 포함됐다. 무선 감시 툴인 ‘체리블러섬(CherryBlossom)’은 무선 기기를 겨냥해 중간자 공격을 할 수 있는 툴이였다. CIA는 체리블러섬을 이용해 특정 인물이나 단체의 인터넷 활동을 감시하고 소프트웨어 익스플로잇을 실행해서 도청이나 감청 장치로 활용한 것으로 보인다.

CIA는 엘사(Elsa)’라는 해킹 툴을 통해 노트북이나 모바일 기기의 와이파이 연결을 통해 위치 추적을 시도하기도 했다. 볼트7에 포함된 아웃로컨트리(OutlawCountry)라는 툴은 리눅스 운영 체제를 조절해서 CIA가 조종하는 기계로 정보를 빼돌리는 기능을 가지고 있었다.

하이라이즈(Highrise) 프로젝트의 경우 새로운 악성코드나 해킹툴이 아닌 CIA 요원들이 이미 해킹된 스마트폰에서 데이터를 수집 및 전달한다. 악성코드를 해킹한 이후 훔친 데이터 뿐만 아니라 SMS 데이터를 훔치는 첨단 해킹 툴이다.

기존의 해킹 툴은 SMS를 통해 훔친 데이터를 전송하기 위해서는 복잡한 작업을 걸쳐야만 했다. 하지만 CIA는 해킹된 기기와 서버 사이의 SMS 프록시 역할을 하는 단순한 안드로이드 앱인 하이라이즈를 통해 손쉽게 정보를 빼돌리게 된다.

CIA 요원들은 하이라이즈를 통해 빼돌린 SMS 정보를 안드로이드 기기에 설치한 특수한 수신 앱을 통해 빼돌린 것으로 보인다.

하이라이즈의 최신 버전 2.0은 2013년에 개발됐으며 안드로이드 4.0 ~ 4.3을 사용하는 기기가 주 공격 타깃이다. 위키리스크는 “CIA는 이미 최신 안드로이드 OS에서도 동작하는 버전이 개발했을 것”고 진단했다.

위키리스크가 볼트 7 의 다양한 해킹 기법을 공개하면서, 해커들은 다양한 정보를 습득해 이전과 차원이 다른 수준의 공격을 벌이고 있다.

실제로 지난 5월 전 세계에 역대 최대의 사이버 공격으로 남은 ‘워너크라이(WannaCry)’도 미국 국가안보국(NSA)이 개발한 해킹툴 ‘이터널 블루’를 사용한 것으로 예상되고 있다.

이터널 블루는 NSA가 유사 시 사이버 공격을 가하기 위해 제작한 해킹프로그램인데, 지난 4월 해커조직인 ‘섀도 브로커스’가 미국 국가안보국(NSA)에서 탈취해 큰 파장을 일으켰다. 이터널블루가 탈취당한 이후 한 달 만에 워너크라이가 전 세계를 덮친 것이다. 일부 외신에서는 섀도 브로커스의 배후로 북한 정보 기관 정찰총국을 지목하기도 했다.

갈수록 첨단화되는 각국 정보기관과 해커들의 사이버 전쟁이 어떻게 펼쳐질지 주목되고 있다.

 

■위키리스크가 공개해온 ‘볼트7’ 시리즈

Dumbo – 3 August, 2017
Imperial – 27 July, 2017
UCL / Raytheon – 19 July, 2017
Highrise – 13 July, 2017
BothanSpy – 6 July, 2017
OutlawCountry – 30 June, 2017
Elsa – 28 June, 2017
Brutal Kangaroo – 22 June, 2017
Cherry Blossom – 15 June, 2017
Pandemic – 1 June, 2017
Athena – 19 May, 2017
AfterMidnight – 12 May, 2017
Archimedes – 5 May, 2017
Scribbles – 28 April, 2017
Weeping Angel – 21 April, 2017
Hive – 14 April, 2017
Grasshopper – 7 April, 2017
Marble Framework – 31 March, 2017

■ Dumbo
3 August, 2017
Today, August 3rd 2017 WikiLeaks publishes documents from the Dumbo project of the CIA. Dumbo is a capability to suspend processes utilizing webcams and corrupt any video recordings that could compromise a PAG deployment. The PAG (Physical Access Group) is a special branch within the CCI (Center for Cyber Intelligence); its task is to gain and exploit physical access to target computers in CIA field operations.

Dumbo can identify, control and manipulate monitoring and detection systems on a target computer running the Microsoft Windows operating sytem. It identifies installed devices like webcams and microphones, either locally or connected by wireless (Bluetooth, WiFi) or wired networks. All processes related to the detected devices (usually recording, monitoring or detection of video/audio/network streams) are also identified and can be stopped by the operator. By deleting or manipulating recordings the operator is aided in creating fake or destroying actual evidence of the intrusion operation.

Dumbo is run by the field agent directly from an USB stick; it requires administrator privileges to perform its task. It supports 32bit Windows XP, Windows Vista, and newer versions of Windows operating system. 64bit Windows XP, or Windows versions prior to XP are not supported.

Leaked Documents
Dumbo v3.0 — Field Guide
Dumbo v3.0 — User Guide
Dumbo v2.0 — Field Guide
Dumbo v2.0 — User Guide
Dumbo v1.0 — TDR Briefing

■Imperial
27 July, 2017
Today, July 27th 2017, WikiLeaks publishes documents from the Imperial project of the CIA.

Achilles is a capability that provides an operator the ability to trojan an OS X disk image (.dmg) installer with one or more desired operator specified executables for a one-time execution.

Aeris is an automated implant written in C that supports a number of POSIX-based systems (Debian, RHEL, Solaris, FreeBSD, CentOS). It supports automated file exfiltration, configurable beacon interval and jitter, standalone and Collide-based HTTPS LP support and SMTP protocol support – all with TLS encrypted communications with mutual authentication. It is compatible with the NOD Cryptographic Specification and provides structured command and control that is similar to that used by several Windows implants.

SeaPea is an OS X Rootkit that provides stealth and tool launching capabilities. It hides files/directories, socket connections and/or processes. It runs on Mac OSX 10.6 and 10.7.

Leaked Documents
Achilles — User Guide
SeaPea — User Guide
Aeris — Users Guide

■ UCL / Raytheon
19 July, 2017
Today, July 19th 2017, WikiLeaks publishes documents from the CIA contractor Raytheon Blackbird Technologies for the “UMBRAGE Component Library” (UCL) project. The documents were submitted to the CIA between November 21st, 2014 (just two weeks after Raytheon acquired Blackbird Technologies to build a Cyber Powerhouse) and September 11th, 2015. They mostly contain Proof-of-Concept ideas and assessments for malware attack vectors – partly based on public documents from security researchers and private enterprises in the computer security field.

Raytheon Blackbird Technologies acted as a kind of “technology scout” for the Remote Development Branch (RDB) of the CIA by analysing malware attacks in the wild and giving recommendations to the CIA development teams for further investigation and PoC development for their own malware projects.

원문링크: https://wikileaks.org/vault7/#Dumbo

저작권자ⓒ 위키리크스 한국(공유 허용)-무단복제, 전재 금지