유명 해커그룹 어나니머스의 아성이 무너졌다. 이들이 주로 사용하는 분산서비스거부(DDoS) 공격 도구가 악성코드의 제왕으로 불리우는 제우스에 감염되는 피해를 입은 것이다.
미국 지디넷은 3일(현지시간) 시만텍 조사결과를 인용해 어나니머스의 DDoS공격 도구가 온라인 뱅킹 시스템을 겨냥한 트로이목마형 악성코드인 제우스에 감염됐다고 보도했다. 이는 개인 이메일이나 금융 정보를 탈취하는데 이용됐다.
지디넷은 어나니머스 해커들이 주로 사용하는 DDoS공격 도구 중 하나인 슬로우로리스(Slowloris)에 제우스 악성코드가 포함돼 있었다고 전했다. 어나니머스가 주로 이용해왔던 텍스트파일 호스팅 사이트인 페이스트빈에서 누구나 수정이 가능한 익명의 게시글에 감염된 버전의 다운로드 링크로 대체되면서 피해를 입은 것으로 나타났다.
이 사실이 어나니머스 지지자들에게 알려지면서 어나니머스는 공식 블로그와 트위터를 통해 피해사실을 공유했다.
파문이 일고 있는 제우스는 사용자의 키입력 값을 탈취해 저장하는 ‘키로거’를 설치해 사용자들의 금융 정보와 로그인 정보를 탈취하는 악성코드다. 지난 2007년에 처음 등장한 이후 꾸준히 드라이브 바이 다운로드(Drive by downloads)와 피싱 형태로 유포되고 있다. 최근에는 다양한 변종까지 나타나고 있으며 수천대의 PC에 감염된 것으로 알려졌다.
지디넷에 따르면, 감염된 DDoS 도구는 미국 정부 웹사이트 등을 공격할 때도 이용된 것으로 나타났다. 도구 리스트에서 슬로우로리스 링크가 수정되면서 셀수 없는 사람들이 어나니머스 가담을 목적으로 이를 다운로드해갔다.
이에 대해 시만텍은 “공격자들이 어나니머스가 공격도구로 슬로우로리스를 사용하고 있다는 점을 이용한 것으로 보인다”면서 “공격자들이 감염된 슬로우로리스 버전으로 링크를 변경해 다운로드하도록 했으며, 어나니머스가 사용하고 있는 DDoS 도구 목록 중에 수정된 버전이 포함된 것으로 보인다”고 말했다.
관련기사
- 어나니머스, 인터폴 소탕작전에 보복 공격2012.03.05
- 인터폴, 어나니머스 소탕...용의자 25명 체포2012.03.05
- 공포의 어나니머스, 해킹에 도청까지?2012.03.05
- 어나니머스, 페이스북 공격 예고...또?2012.03.05
일단 감염된 슬로우로리스를 다운로드 받아 실행하면 공격자의 C&C서버로 로그인 정보와 쿠키를 전송해준다. 이는 전형적인 트로이목마형으로 어나니머스 타깃을 공격하려는 사용자 PC를 감염시키도록 한 것이다.
그러나 현재 감염된 슬로우로리스를 다운로드 받은 어나니머스 가담자들이 얼마나 되는지는 파악되지 않고 있다. 원격 서버로 얼마나 많은 금융정보 데이터들이 새어나갔는지도 확인되지 않은 상태다.
