[WIKI 단독] 위키리크스 이번엔 CouchPotato 공개.. CIA볼트7 시리즈

최석진 기자= CIA의 해킹툴 Vault 7 시리즈를 잇따라 오픈해 온 위키리크스(Wikileaks)가 이번에는 CouchPotato(카우치포테이토)를 공개했다.

위키리크스가 10일(현지시간) 릴리스 한 카우치포테이토는 비디오 코덱인 RTSP/H.264 비디오 스트리밍을 수집하는 원격 제어 툴이다. 이 툴은 비디오 스트리밍을 AVI 비디오 파일로 수집하거나 비디오 프레임의 JPG 스틸이미지를 캡처할 수 있다.

특히, 이 JPG 이미지 캡처 기법은 이전의 프레임 스틸 이미지 캡처 방식에서 획기적 진전을 이룩한 기술이다. 이 툴은 RTSP 코덱을 통한 접속 뿐 아니라 ffmpeg 비디오와 이미지 인코딩 및 디코딩 기법을 활용한다. CouchPotato(카우치 포테이토)는 우리말로 직역하면 소파에 앉아 감차칩을 옆에 놓고 TV나 보면서 빈둥빈둥 대는 게으른 사람을 지칭하는 말이다.

위키리크스는 앞서 지난 3일 CIA 요원들이 보안 카메라를 비활성화 시키는데 사용하는 장비인 덤보(Dumbo)를 공개한 바 있다.

Dumbo는 로컬 또는 무선(블루투스, WiFi), 유선 네트워크에 연결 된 웹캠, 마이크와 같은 설치 된 기기들을 식별한다.

요원들은 Dumbo를 타깃 기기에서 USB 드라이브를 통해 직접 실행시켜야 한다. 작업 수행을 위해서는 시스템 권한이 필요하기 때문이다.

이 툴은 마이크를 음소거하고 네트워크 아답터를 비활성화 하며 웹캠을 사용하는 프로세스를 중지시키고 영상 레코딩을 방해할 수 있다.

영상, 오디오, 네트워크 스트림의 녹화 녹음, 모니터링, 삭제 등 탐지된 기기와 관련된 모든 프로세스들도 식별되고 운영자가 중지시킬 수 있다.

녹화 녹음된 내용을 제거하거나 조작함으로써 운영자는 그들의 침입 작전에 대한 실질적인 증거를 파괴하거나 가짜 증거를 만들 수 있다.

[위키리크스, CouchPotato 기사 원문]
https://wikileaks.org/vault7/#CouchPotato

[코치포테이토 사용자가이드]
https://wikileaks.org/vault7/document/Couch_Potato-1_0-User_Guide/

CouchPotato

10 August, 2017

Today, August 10th 2017, WikiLeaks publishes the the User Guide for the CoachPotato project of the CIA. CouchPotato is a remote tool for collection against RTSP/H.264 video streams. It provides the ability to collect either the stream as a video file (AVI) or capture still images (JPG) of frames from the stream that are of significant change from a previously captured frame. It utilizes ffmpeg for video and image encoding and decoding as well as RTSP connectivity. CouchPotato relies on being launched in an ICE v3 Fire and Collect compatible loader.

Leaked Documents
CouchPotato v1.0 — User Guide

Dumbo
3 August, 2017
Today, August 3rd 2017 WikiLeaks publishes documents from the Dumbo project of the CIA. Dumbo is a capability to suspend processes utilizing webcams and corrupt any video recordings that could compromise a PAG deployment. The PAG (Physical Access Group) is a special branch within the CCI (Center for Cyber Intelligence); its task is to gain and exploit physical access to target computers in CIA field operations.

Dumbo can identify, control and manipulate monitoring and detection systems on a target computer running the Microsoft Windows operating sytem. It identifies installed devices like webcams and microphones, either locally or connected by wireless (Bluetooth, WiFi) or wired networks. All processes related to the detected devices (usually recording, monitoring or detection of video/audio/network streams) are also identified and can be stopped by the operator. By deleting or manipulating recordings the operator is aided in creating fake or destroying actual evidence of the intrusion operation.

Dumbo is run by the field agent directly from an USB stick; it requires administrator privileges to perform its task. It supports 32bit Windows XP, Windows Vista, and newer versions of Windows operating system. 64bit Windows XP, or Windows versions prior to XP are not supported.

[위키리크스, 볼트7 시리즈 공개 일지]

Archimedes – 5 May, 2017
Scribbles – 28 April, 2017
Weeping Angel – 21 April, 2017
Hive – 14 April, 2017
Grasshopper – 7 April, 2017
Marble Framework – 31 March, 2017
Dark Matter – 23 March, 2017