6.25 사이버 테러와 관련한 변종 악성파일이 언론사 시스템 파괴 기능을 수행하고 있다. 지난 3.20 사이버 테러와 비슷한 수법이라 두 공격이 동일범의 소행으로 의심되는 상황이다.
27일 잉카인터넷 대응팀은 지난 7.7분산서비스거부(DDoS), 3.4 DDoS, 3.20 사이버 테러 때와 비슷한 수법으로 파일 복원을 방해하기 위해 파일 내에 임의의 쓰레기 코드를 삽입해 저장 후 삭제하는 공격이 진행되고 있다고 밝혔다.
때문에 삭제된 파일을 복원하더라도 원본 파일을 복구하지 못할 가능성이 높다. 더구나 해당 악성파일은 하드디스크(HDD)의 부팅영역(MBR)을 파괴시키는 기능도 갖고 있는 것으로 나타났다.
관련기사
- [속보]언론사 노린 무차별 파일삭제기능 작동중2013.06.27
- '충격' 6.25 해킹, 사이버戰 전술 쓰여2013.06.27
- 일베도 해킹당한 듯…홈페이지 접속 불가2013.06.27
- 정부 "해킹 총 16개 기관...유출정보 파악중"2013.06.27
분석에 따르면 악성파일은 사용자 계정 하위의 임시폴더(Temp) 경로에 임의의 이름을 가진 tmp.bat 확장자의 파일을 생성하고 실행한다. 이 파일 내에는 어나니머스를 의미하는 'anon' 이라는 문자가 삽입돼 있다. 생성되는 파일명은 매번 가변적으로 만들어진다.
이밖에 사전공격(딕셔너리 어택)을 통해 ID가 adimn, 비밀번호 1234와 같이 흔히 사용되는 ID와 비밀번호를 무차별 대입해 계정권한을 탈취하는 방법도 확인되고 있다.
