태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'악성코드제작자'에 해당되는 글 42건

  1. 2015.05.20 북에서 사이버전사는 최고의 엘리트들 선발
  2. 2015.03.19 CTF 북한 기록
  3. 2015.02.06 KHNP와 MND 관계 일부 공개 (1)
  4. 2015.02.05 Kimsuky 라고 명명된 Kaspersky 관련해서 개인적으로 RSH 로 쓰고 있다.
  5. 2014.12.20 작성인은 동일인
  6. 2014.12.17 크리스마스 선물?
  7. 2014.12.06 제보자..판을 바꾸고 새판을 짠다.
  8. 2014.08.27 악성 프로그램 제작 위해 北연계 국보법 위반 혐의 2명 구속
  9. 2014.08.27 중앙일보 외신의 저력
  10. 2014.06.24 CrowdStrike - Putter Panda
  11. 2014.06.10 아이폰 인질로 잡은 러시아 용의자 2명 구속
  12. 2014.06.03 미국 연방지방법원, 게임오버 제우스 유포혐의로 러시아인 보가체프 기소
  13. 2014.02.20 사이버전사 역공격 전술
  14. 2014.01.29 [경축]스파이아이 툴킷 제작자 검거 소식
  15. 2013.07.09 HWP 악성파일을 이용한 정보수집 서버
  16. 2013.07.01 영남일보 해킹 - Hacked by High Anonymous
  17. 2013.06.30 카카오톡 이상징후
  18. 2013.06.28 조선민주주의인민공화국 인민무력부 정찰총국의 사이버테러리즘과 사이버전쟁
  19. 2013.06.28 금융쪽은 망분리 의무화.
  20. 2013.06.28 사이버전 전사들은 이미 노골적으로 북한이라고 보여주고 있다.
  21. 2013.06.27 총성, 포성없는 사이버전쟁(Cyber War)
  22. 2013.06.27 예전과 동일한 방식이다.
  23. 2013.06.26 오잉? 안랩 “정부기관 디도스 공격, 일베 통해 이뤄진 것 아냐” ????????
  24. 2013.06.26 6.25 사이버전 진행 중
  25. 2013.06.26 6.25 사이버테러? 사이버전쟁?
  26. 2013.06.25 웹하드 2곳 설치프로그램으로 위장
  27. 2013.06.25 청와대 홈피 공격 중
  28. 2013.06.20 사기꾼들 어이없는 맞고소? (1)
  29. 2013.06.20 6월 25일 북한 2차해킹전을 선포한 어나니머스
  30. 2013.06.18 3.20 사이버 테러 공격 경로
2015.05.20 15:44

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

악성코드제작자2015.03.19 17:06



https://ctftime.org/


https://ctftime.org/team/2538


AV 우회에 관심이 많지.


http://worlds.fattest.cat/ctf/hack.lu-2012-zombie-av.html




http://worlds.fattest.cat/





죠슈아는 눈에 많이 익다.




http://worlds.fattest.cat/ctf/sigint-ctf-git.html






Posted by viruslab

댓글을 달아 주세요

악성코드제작자2015.02.06 14:27


문서파일들의 경우 마지막 저장한 컴퓨터 계정명이 자동 저장된다.


공격자는 문서의 종류에 따라 계정별로 관리를 하고 있었고, 자신의 계정이 저장되고 있는지 알지 못했다. 이 글 보고 앞으로는 잘 바꾸겠지만..


그래봤자 항상 흔적을 남기고 있다.


http://viruslab.tistory.com/3874


한수원(www.khnp.co.kr) 공격용으로 확인된 HWP 문서들은 대부분 "John" 윈도우 기본 안내 계정을 사용했지만 이것도 오히려 자신의 신분을 노출하는데 한 몫했다.


앞으로는 꼭 계정을 수시로 변경해서 쓰도록 하거라. 특히 자신의 이름 이니셜은 쓰지 말도록..


MND(www.mnd.go.kr)계정의 경우는 몇 가지 민감한 내용이 있어서 이 정도만 공개한다.


http://viruslab.tistory.com/3996


http://viruslab.tistory.com/3991


http://viruslab.tistory.com/3994


유출되어 공개된 한수원 임직원 주소록을 최종적으로 저장한 계정..




MBR 파괴(Who Am I?)하는 동일한 취약점을 가진 HWP 악성파일들







===========================================================================================================





===========================================================================================================




===========================================================================================================


언론사 기자에게 발송된 스피어피싱용 HWP 악성파일


http://www.ytn.co.kr/_ln/0101_201408221630123874


 





Posted by viruslab

댓글을 달아 주세요

  1. 트위터에서 보이는 정보는 kdfifj1029 인가요? 10월 29일생?

    2015.02.10 09:38 신고 [ ADDR : EDIT/ DEL : REPLY ]

악성코드제작자2015.02.05 09:42


러시아 말고 우리 자체 캠페인을 좀 쓰면 안될까?


RSH는 HWP 취약점 문서를 많이 만들어서 공격에 이용하고 있다.


한수원과 관련하여 언급되고 있는 HWP 취약점 공격파일 이외에도 다수의 문서에서 RSH 와의 연관성이 존재한다.


작년에 간략히 작성했던 문서를 하나 전격 공개한다.


최초 문서에는 갱신되지 않은 내용이 많지만.. 리송호와 리송학의 관계 등등


http://viruslab.tistory.com/3990 -> 제작자 RSH


http://viruslab.tistory.com/3981


자료.pdf




Posted by viruslab

댓글을 달아 주세요

악성코드제작자2014.12.20 13:02


http://viruslab.tistory.com/3817








Posted by viruslab

댓글을 달아 주세요

악성코드제작자2014.12.17 13:45






Posted by viruslab

댓글을 달아 주세요

악성코드제작자2014.12.06 02:38


윤리성이 확립되지 않은 보안은 위험하다. 


같은 듯 다른 해커집단 "룰즈섹"과 "어나니머스" 그리고 모방, 과시욕, 코스프레, 다중생활......


http://www.bloter.net/archives/64729


-------------------------------------------------------


http://viruslab.tistory.com/3610


지난 9월 5일 간략히만 공개했었는데.. 아무래도 안되겠다. 언론기자분들과 보안전문가들에게 큰 부작용을 야기시키고 있어 본격 정리들어간다.




영화 제보자는 줄기세포 스캔들을 다루면서 아무런 증거도 없는(?) 제보를 통해 언론이 어떻게 취재를 하는지 보여주는 영화이다.




컴퓨터 보안분야에서 무엇보다 중요한 것은 도덕적 마인드의 함양이고, 자신의 기술이 양날의 검처럼 언제든 위험할 수 있다는 것을 인식해야 한다는 것이다.


자.. 그럼 2012년으로 돌아갑니다.


2012 08월 13일 데일리시큐에 "네이버, XSS와 태그에 취약한 상황…조치 필요!" 라는 소식이 공개된다.


이때는 HHT 해킹팀 레이아세이렌 이라는 닉네임으로 제보를 시작했다.


http://dailysecu.com/news_view.php?article_id=2734


2013년 01월 여러 사이트에 각종 HTML 태그와 스크립트를 삽입하고 테스트하며, 웹 스크립트 악용에 심취한다.


http://old.wikibbs.net/index.php?mid=wikibbs&page=159&category=150&sort_index=readed_count&order_type=asc&document_srl=3583687&cpage=1#comment




2013년 07월 23일까지 레이아세이렌 이라는 아이디로 계속 보안이슈를 제보하며 자신을 알린다.



2013년 1월 22일 네이버 블로그-카페-메일에서 XSS 취약점 발견! 이라는 글이 공개된다. (레이아세이렌)


http://dailysecu.com/news_view.php?article_id=3668


이번 취약점을 발견하고 데일리시큐에 제보한 TEAM NST 맴버 레이아세이렌은 “이 취약점은 네이버가 사이트와 연결시킬 수 있는 태그인 OBJECT와 EMBED태그를 막지 못했기에 생긴 취약점”이라며 “이 취약점으로 인해 악성코드와 CSRF의 용도로 악용될 수 있다”고 밝혔다.

 

또 그는 “이 취약점이 모바일에서도 동작한다는 것이다. 모바일을 타깃으로 공격을 할 수도 있는 상황”이라며 “이 취약점은 IE 9, 사파리, 구글크롬, 파이어폭스 등 거의 모든 브라우저에서 발생한다”고 밝혔다.

 

더불어 취약점 동영상도 함께 공개했다.

-blog.naver.com/ubera5/10157161599

 

그는 “하루 빨리 처리가 필요한 상황”이라며 “현재 네이버 보안팀에 제보했지만 여전히 취약점이 동작하고 있는 상황이라 제보하게 됐다”고 말했다.

 

이 취약점을 차단하는 방법에 대해 그는 “차단 방법은 주소는 필터링을 할 수 없으니 주소 뒤에 PHP가 들어간다면 필터링해야 하고 주소 뒤에 HTML이 들어가도 필터링을 하도록 해야 한다”고 전했다.





2013년 7월 23일 XSS 이슈 등을 보안전문 뉴스매체에 제보하며 자신의 이름을 공개한다.


HHT해킹팀 레이아세이렌은 동패고등학교 IS정보보안동아리 이광룡이라는 학생으로 자신이 소개된다.


해킹팀 -> 보안동아리


http://dailysecu.com/news_view.php?article_id=4848




2013년 08월 26일 자신의 페이스북에 관련 뉴스 내용을 등록한다.



언론에 자신이 알려진 다음부터 보안전문가보단 해커의 모습을 보이며 자기과시에 집중한다. 자신의 블로그에 올렸던 내용을 통해 그의 과거를 확인할 수 있다. 


스스로를 초기부터 해커라고 생각하고 있었고, 이미 악의적인 의도로 해킹을 학습하였다. 이런 상황에서 자신의 이름이 언론매체에 알려지고 성취감과 자기과시욕이 결합된다. 그후 보안을 통해 자신을 계속 언론에 알리고자 노력한다.









보안과 해킹이란 이중적 행태를 보이면서 이곳 저곳 과도한 행동이 외부에 공개되기 시작한다.


http://www.ilbe.com/4113317184



 

자신의 네이버 블로그에 기록을 남기고 있다.


http://blog.naver.com/ubera5




http://www.wechall.net/ur/profile/rayaseiren

http://guenni.gizmore.org/tr/profile/rayaseiren



http://gooswiki.com/index.php?title=%ED%96%84%EC%8A%A4%ED%84%B0_%ED%95%B4%EC%BB%A4




데일리시큐 뿐만 아니라 보안뉴스 사이트에도 제보를 계속 하고 있다.







2014년 09월 05일 새누리 광주시당 홈페이지 해킹…"사이버 전쟁 선포"


http://www.yonhapnews.co.kr/politics/2014/09/05/0505000000AKR20140905059500004.HTML


햄스터단으로 불법적인 해킹을 하는데, 이미 햄스터단이라는 닉네임은 레이아세이렌이 공용으로 함께 사용했으며, 보안뉴스에 광주새누리당, 천재교육사이트를 자신이 해킹했다고 제보하기도 했다.


http://afreeca.com/dksksladk






http://www.boannews.com/media/view.asp?idx=42878


4일 자신을 햄스터단이라고 밝힌 해커는 이맨투맨 사이트의 관리자 권한을 획득한 후 ‘과자먹고싶네’, ‘Hacked by 햄스터단’, ‘내일 학교가야지! 안그럼 재수한다ㅋㅋ’, ‘F.B.I에서 순찰왔습니다.’ 등의 제목으로 공지사항을 도배했다.











새누리당 광주시당 해킹 혐의로 검거됐던 미성년자는 보호관찰 조치로 훈방조치된 것으로 알려졌고,

갑자기 해외 해킹그룹 중 하나인 "룰즈섹 리본"이라는 이름으로 새누리당 경남도당의 게시판에 해킹관련 글이 게재된다.


http://dailysecu.com/news_view.php?article_id=8187




룰즈섹팀이라는 타이틀과 중앙일보 해킹됐을 때 사용한 문구를 그대로 모방했다. 특히, 데일리시큐에 많은 관심을 받고 싶어한다.


http://viruslab.tistory.com/3734



pwnable.kr - Pwn3d



https://www.facebook.com/profile.php?id=100003034610792&fref=ufi



https://www.facebook.com/pages/New-Security-Technology/1496041840641350?pnref=lhc












James = 이성혁


혼자는 외로우니깐...


http://www.dailysecu.com/news_view.php?article_id=3537



추후 보안뉴스가 추가된다. 역시나 데일리시큐와 보안뉴스에 집착한다. 



2중적인 활동 성향을 보임.



http://www.boannews.com/media/view.asp?page=&gpage=&idx=44152&search=media&find=%C1%D6%B8%F9



아래 데일리시큐 내용은 제보자가 제공한 내용으로 작성된 내용이다.


http://dailysecu.com/news_view.php?article_id=8208


과거의 행적을 돌아보면 1인 다역을 충실히 수행하고 있다는 것을 알 수 있다.



다중성격?



자신의 해킹실력에 대해서 문제를 제기하면 발끈한다.

http://www.boannews.com/media/view.asp?page=&gpage=&idx=44152&search=media&find=%C1%D6%B8%F9









2011년에 소니픽쳐스가 룰즈섹 이름으로 해킹된 내용이 보도된 바 있다.


http://www.munhwa.com/news/view.html?no=2011060301032532071002





2014년에 소니픽쳐스가 또 해킹됐지만 이건 북한이다. 룰즈섹이 또 관심을 받고 싶다보다.


이젠 어나니머스, 룰즈섹에 이어 가디언즈 오브 피스까지 조작 중이다.


3명의 페이스북은 코스프레..


동일한 필력으로 보이고 있다. 너 자신을 속인 후 남을 속여라.




이글을 마지막으로 폐북 활동 중단 선언





Posted by viruslab

댓글을 달아 주세요

악성코드제작자2014.08.27 15:15




http://news1.kr/articles/?1832813




Posted by viruslab

댓글을 달아 주세요

악성코드제작자2014.08.27 14:05


전남경찰, 국내 최대 규모 개인정보 침해사범 적발

http://www.jnpolice.go.kr/board/board.php?mode=view&number=126145&tbnum=27&sCat=0&page=1&keyset=&searchword=


'뻥뚫린' 2천700만명 개인정보, 최저 1원에 팔렸다

http://www.yonhapnews.co.kr/society/2014/08/21/0701000000AKR20140821099800054.HTML


국내 개인정보 2700만명 유출한 일당 적발 (8월 21일)

http://joongang.joins.com/article/539/15596539.html?ctg=1200&cloc=joongang%7Chome%7Cnewslist1


영문으로 재배포

16 suspects in a massive information leak arrested (8월 22일)

http://koreajoongangdaily.joins.com/news/article/Article.aspx?aid=2993858


소포스까지

220 million records stolen, 16 arrested in massive South Korean data breach (8월 26일)

http://nakedsecurity.sophos.com/2014/08/26/220-million-records-stolen-16-arrested-in-massive-south-korean-data-breach/


2억 2천만건 개인정보 유출 ‘사상 최대규모

http://www.112news.co.kr/news/content.asp?news_idx=201408211203458421



8.21수사과.hwp




Posted by viruslab

댓글을 달아 주세요

악성코드제작자2014.06.24 17:09


크라우드 스트라이크 보고서


http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=104&oid=001&aid=0006951870


http://www.crowdstrike.com/blog/hat-tribution-pla-unit-61486/index.html


http://cdn0.vox-cdn.com/assets/4589853/crowdstrike-intelligence-report-putter-panda.original.pdf


crowdstrike-intelligence-report-putter-panda.original.pdf




Posted by viruslab

댓글을 달아 주세요

악성코드제작자2014.06.10 15:19



http://www.mainnews.co.kr/news/articleView.html?idxno=2496

안드로이드는 더 난리다.

 

Posted by viruslab

댓글을 달아 주세요

악성코드제작자2014.06.03 10:01


보가체프는 게임오버와 크립토락커를 퍼트린 혐의로 미국 법원으로 부터 기소..

http://viruslab.tistory.com/3314

http://www.ytn.co.kr/_ln/0104_201406030423459756

http://www.fbi.gov/wanted/cyber

http://www.fbi.gov/wanted/cyber/evgeniy-mikhailovich-bogachev/

http://www.fbi.gov/wanted/cyber/evgeniy-mikhailovich-bogachev/person_view_multimedia

Aliases:

Yevgeniy Bogachev, Evgeniy Mikhaylovich Bogachev, "lucky12345", "slavik", "Pollingsoon"

DESCRIPTION

Date(s) of Birth Used:

October 28, 1983

Height:

Approximately 5'9"

Weight:

Approximately 180 pounds

NCIC:

W890989955

Occupation:

Bogachev works in the Information Technology field.

Hair:

Brown (usually shaves his head)

Eyes:

Brown

Sex:

Male

Race:

White

Remarks:

Bogachev was last known to reside in Anapa, Russia. He is known to enjoy boating and may travel to locations along the Black Sea in his boat. He also owns property in Krasnodar, Russia.

CAUTION

Evgeniy Mikhailovich Bogachev, using the online monikers “lucky12345” and “slavik”, is wanted for his alleged involvement in a wide-ranging racketeering enterprise and scheme that installed, without authorization, malicious software known as “Zeus” on victims’ computers. The software was used to capture bank account numbers, passwords, personal identification numbers, and other information necessary to log into online banking accounts. While Bogachev knowingly acted in a role as an administrator, others involved in the scheme conspired to distribute spam and phishing emails, which contained links to compromised web sites. Victims who visited these web sites were infected with the malware, which Bogachev and others utilized to steal money from the victims’ bank accounts. This online account takeover fraud has been investigated by the FBI since the summer of 2009.

Starting in September of 2011, the FBI began investigating a modified version of the Zeus Trojan, known as Gameover Zeus (GOZ). It is believed GOZ is responsible for more than one million computer infections, resulting in financial losses in the hundreds of millions of dollars.

On August 22, 2012, Bogachev was indicted under the nickname “lucky12345” by a federal grand jury in the District of Nebraska on charges of Conspiracy to Participate in Racketeering Activity; Bank Fraud; Conspiracy to Violate the Computer Fraud and Abuse Act; Conspiracy to Violate the Identity Theft and Assumption Deterrence Act; and Aggravated Identity Theft. On May 19, 2014, Bogachev was indicted in his true name by a federal grand jury in the Western District of Pennsylvania on charges of Conspiracy; Computer Fraud; Wire Fraud; Bank Fraud; and Money Laundering. On May 30, 2014, a criminal complaint was issued in the District of Nebraska that ties the previously indicted nickname of "lucky12345" to Bogachev and charges him with Conspiracy to Commit Bank Fraud.


 
Posted by viruslab

댓글을 달아 주세요

악성코드제작자2014.02.20 10:10


사이버전사들을 역으로 공격하기 위해서는 알려지지 않은 문서취약점을 활용할 수 있다.

먼저 북에서 만들어지는 악성파일은 감염된 시스템에서 다양한 기밀문서 수집작업을 수행하고, 그 파일들을 C&C로 전송한다.


역공격을 하기 위해서 알려지지 않은 취약점용 문서파일에 악성파일을 은밀히 심어두고, 그 문서를 가져가도록 만드는 것이다.

물론 북에서 만들어지는 악성파일은 USB 연결상태를 보고 있다가 훔쳐가는 경우도 있고, 그것은 별도로 보관된다.

따라서 이동매체에 이런 역공용 문서파일을 넣어두고, 실제 감염된 시스템에 속는 척하면서 연결하는 것이다.

사이버전사들은 이미 C&C로 붙기 위해서 인터넷망에서 작업을 하고 있어 얼마든지 그들을 추척하는데 활용할 수 있다.

그냥 이건 하나의 시나리오일 뿐이다.

하나만 더 공개한다면,

휴민트를 통해서 입수한 정보를 통해서 물리적으로 감염된 시스템이나 이동매체를 주변에 보내는 방법이다.

http://article.joins.com/news/article/article.asp?total_id=11021009&cloc=olink|article|default






Posted by viruslab

댓글을 달아 주세요

악성코드제작자2014.01.29 10:20



http://krebsonsecurity.com/2014/01/feds-to-charge-alleged-spyeye-trojan-author/

무기징역에 처하거라..




Posted by viruslab

댓글을 달아 주세요

악성코드제작자2013.07.09 11:32


내 분석 컴퓨터의 정보까지 유출! ㅡ.ㅡ+

 

미안하지만 너희들의 서버는 탱고다운

 

 

 

Posted by viruslab

댓글을 달아 주세요

악성코드제작자2013.07.01 10:28


공격은 오늘도 계속되고 있다.




Posted by viruslab

댓글을 달아 주세요

악성코드제작자2013.06.30 01:04


몇주 전에 키사 회의 때 카카오톡 서버가 해킹이 되어 악성앱으로 업데이트 변조되면 파급력이 클 것이다라는 가상 시나리오를 언급한 적이 있다. 회의장소에 있는 대부분이 웃으셨다.

 

그리고 6.25 사이버 전사가 6월 25일 오후 2시에 이런말을 하면서 공개했던 곳이다.

 

[카카오톡 38만명의 신원정보 확보]

 

http://viruslab.tistory.com/2629

 

 

그리고 약 2~3일 전 카카오스토리 업그레이드 라는 내용과 함께 악성앱이 전파되었다.

 

http://erteam.nprotect.com/428

 

제발 이번만큼은 예감이 빗나가길 바란다.

 

KakaoTalk의 보안 플러그인 / all msgs

 

 

 

 

 

Posted by viruslab

댓글을 달아 주세요

악성코드제작자2013.06.28 17:04


 

 

조선민주주의인민공화국이 사이버전을 준비한 것은 1980년대 부터이며. 당시 김정일이 "20세기 전쟁은 알탄(탄환)전쟁이며 21세기 전쟁은 정보전쟁"이라고 선언했다. 전통 무기와는 다르게, 정보를 바탕으로 한 정보전에서는 큰 재원이나 국가차원에서의 지원을 필요로 하지 않는다. 정보 시스템의 전문 지식과, 공격대상이 되는 네트워크로의 접근이 유일한 전제 조건이 될 수 있다.

 

북한 김정일은 1995년과 1998년에 최고사령관명령으로 북한군 총참모부에 새로운 사이버정보전 능력을 구축할 데 대하여 지시하였다. 이러한 명령에 따라 북한군은 사이버 정보전의 개념과 전략을 더욱 완성시키면서 사이버 정보전의 원활한 수행을 위한  해커부대창설, 사이버전 전법, 심리전 전법 경제정보획득전법 등 다양한 정보전 전법과 방법들을 나름대로 발전시켜왔고 2002년부터 국제인터넷에 접근하여 적극적인 공격작전을 감행하고 있다.

 

또한 전통적으로 구분이 명확하였던 공공과 개인의 이익, 전쟁과 범죄 행위 등이 사이버 공간 내에서 구분하기가 어려워지고, 국가 사이의 지역적, 정치적 경계가 모호해지고 있다. 따라서 정보 하부구조 내에서 발전하는 상호 작용에 의해 복잡하게 되고, 누가 공격하고 있는지, 누가 공격당하고 있는지, 누가 공격을 준비하고 있는지를 구별할 수 없게 된다.

 

따라서 전통적인 경계에 따라서 역할이 정해져 있는 정상적인 국가의 법 집행기관과 국가 안보기관 및 첩보기관사이의 역할 구분이 모호해지며, 정보체계가 공격당하고 있을 때 그것이 범죄행위에 의한 것인지 전쟁행위에 의한 것인지 구분할 수 없게 된다. 이처럼 전통적인 경계가 모호해짐에 따라  자기를 노출시키지 않고도 또 국제적으로 문제점을 일으킬 수 있는 전통적인 군사행위나 테러를 하는 대신 개인이나 다국적 범죄 조직을 이용하여 엄청난 파괴력을 지닌 게릴라식 공격을 감행할 수 있다는 것이 북한이 사이버공격과 침해작전에 겁 없이 뛰어들게 한 이유이기도하다.

 

현재 대남 사이버전은 조선민주주의인민공화국군 총참모부 정찰총국 산하 110호연구소가 담당하고 있다. 조선민주주의인민공화국은 사이버 인재를 육성하기 위해 10대 중후반의 영재들을 선발해 체계적인 교육을 시키기 위해 컴퓨터 전문학교에 진학시킨다. 이곳을 거쳐 매년 100여명의 최상위급 해커를 배출한다.

 

인민무력부 정찰총국은 북한군의 스파이 조직이다. 김영철 상장이 총국장이다. 미국 중앙정보국(CIA), 미국 국방정보국(DIA), 한국 기무사에 해당한다. 원래는 그냥 "(북한) 정찰국"이라고 부르는 곳이다. 조선인민군 총참모부 정찰국이다.

 

핵 문제와 테러리즘 등으로 미국의 지속적인 외교적 압력과 군사적 위협에 처해있는 북한은 미국, 한국과의 전면적인 맞대결을 위하여 오래전부터 핵무기와 대륙간탄도미사일(ICBM)의 개발과 함께 최첨단정보기술이 모두 동원된 사이버전쟁 능력을 갖추기 위하여 각방으로 준비해왔다.

 

자위적 군사노선을 견지해 오고 있는 북한은 오프라인 전쟁보다는 재원, 인원, 수단이 적게 들면서도 어찌 보면 공격효과가 훨씬 파괴적이고 치명적일수도 있는 사이버전쟁에 대단한 메리트를 느끼고 1993년 이후로 인민군 총참모부 산하에 관련부대를 창설하기 시작하였다. 특히 북한은 전국적으로 컴퓨터 영재의 발굴, 특수교육실시, 중국으로부터 핵심기술 전수, 북한내 인터넷훈련망의 부설, 실전상황의 사이버공격훈련, 중국과 일본 유럽 등지에서 사이버공격 과정들을 매우 치밀하고 전개하면서 사이버테러의 실전능력들을 갖추어 나갔다.

 

1998년부터는 북한군 최고사령관인 김정일의 직접적인 지시에 따라 인민군 각급 부대들에서 군사지휘관들에게 첨단 정보기술에 대한 교육을 진행하고 있으며, 사회에서 배출된 나이 어린 영재들과 미림대학의 출신들로  조직된 전문사이버전 부대들이 조직개편을 통해 각종 상황에서의 정보전을 효과적으로 진행할 수 있는 전투능력 구비를 위해 온갖 노력을 기울이고 있다.

 

뿐만 아니라 일반 기관, 주민을 위한 컴퓨터 네트워크인 “광명”과 분리된 군부, 정보기관, 경찰전용의 인트라넷을 따로따로 신설하여 이를 통한 대내 정보의 유출위협을 방지하고 첨단정보기술을 활용으로 각 조직들의 업무효율을 높이고 체제유지를 더욱 강화할  실제적 조치들을 취하고 있다.


중앙당 군사부와 북한군은 이라크전쟁과 코소보전쟁들에서 미국의 점점 강화되는 정보전수행능력과 그 것이 공중작전, 지상작전과 결합될 때 발휘하는 엄청난 파괴성과 효과성들을 실감하면서 북한군은 정보전에 대한 개념과 전투전법들에 대한 벤치마킹의 필요성을 절감하게 되었고 이후 여러 방면의 논의와 의견수립을 거쳐 자기식의 독특한 정보전 전략들을 확립하였다.

 

북한이 사이버 세계에서 위험한 공격자로 활동하기 시작한 것은 2002년부터이다. 그 시작은 1993년부터 시작되었는 바 활동 연역들을 요약한다면 2000년까지는 사이버정보전 전략의 기본적인 틀을 마련하였으며 이라크전의 경험과 교훈에 기초하여 더욱 완비하였다. 이 시기 북한은 내부 인트라넷에서 사이버테러 및 전쟁능력을 갖추기 위한 충분한 훈련을 통해 경험을 축적하였다. 그리고 세계적으로 보고되는 사이버침해사례들을 분석하고 각종 바이러스나 웜, 스파이웨어나 트로이 목마, 스니퍼와 같은 해킹툴을 직접 만들어 전파시킬 뿐 아니라 프로들이 만든 고급한 해킹툴을 직접 다뤄보면서  거기로부터 새로운 해킹수법들과 도구들을 마련하였다.

 

2009년 5월 10일 각종 대남공작, 해외공작업무를 하는 노동당 35호실과 노동당 작전부를 노동당에서 떼어내 인민무력부 정찰국으로 통합, 정찰총국으로 확대개편했다고 보도되었다. 두 곳은 노동당의 3대 해외 스파이 조직으로 유명한 곳이다. 나머지 하나인 노동당 대외연락부는 축소, 강등되었다. 노동당 작전부는 위조지폐, 마약 제조와 거래, 무기 수출을 하던 곳으로서, 노동당에서 북한군부로 막대한 재원이 이동했음을 의미한다.

 

미국 국방정보국(DIA), 한국 기무사와 비슷한 기관이나 한미는 삼성장군이지만, 북한은 상장으로 사성장군이다. 미국 중앙정보국(CIA), 한국 국정원과 같은 국가정보부는 보위부라고 부른다. 미국 DIA는 미니 CIA라고 불리지만, 2012년 1000명 스파이를 CIA와 같은 1600명으로 증원한다고 발표하여 대등한 조직으로 키우겠다고 정책이 변경되었다. 한국은 국정원장인 김재규가 박정희 대통령을 살해하고, 기무사령관 전두환이 쿠데타에 성공, 대통령을 지내서 국정원과 기무사의 위상이 좀 미묘하지만, 미국처럼 대통령 직속인 국정원이 훨씬 방대하다고 알려져 있다.

 

북한의 기무사인 정찰총국은 국정원인 보위부 보다는 급이 낮고, 미국 한국과 유사하다. 2012년 현재 사실상 국가주석이라는 장성택이 김정일 밑에서 오랫동안 보위부장을 지냈으며, 현재는 그 부하들이 부위부장을 하고 있다. 그러나 직급상으로는 보위부가 더 높은지는 몰라도, 수많은 사건들은 정찰총국이 소련의 KGB라는 점을 여실히 증명하고 있다.

 

보다 중요한 것은 북한이 기초수학의 토대가 비교적 잘 마련되어있는 특성을 이용해 각종 암호작성 및 암호해득 알고리즘을 만들어내고 그것을 공격실천에 도입하는 과정들이 빠른 속도로  진행되고 있다는 사실이다.

그리고 해킹부대들의 조직구조를 해킹도구의 개발과 전투수행에  필요한 기술적 공정에 맞추어 수학파트, 운영체제파트, 네트워크분석파트, 시스템분석파트, 트래픽처리파트, 코드화 및 검사파트 전투기획파트 등으로 세분화 했으며 전투작전의 효율을 높이기 위한 다양한 조직개편, 임무수립 과정들을 거듭 다듬어 가고 있다. 북한의 사이버전 테러능력에 대하여 일각에서는 미국의 CIA를 능가할 정도라고도 말한다.

 

2012년 현재 장성택은 경찰인 보안부를 직접 지휘하고 있는데, 보위부의 방첩기능까지 도입하는 등 실권이 보위부 보다 더 강력하게 되었다고 보도되었다. 중국/북한에서의 경찰은 한국/미국의 경찰과는 위상이 다르다. 2012년 중국은 강경파가 경찰을, 온건파 후진타오 주석이 군대를 장악하였는데 둘이 서로 베이징에서 전면 충돌했다는 보도가 나오기도 하였다. 후에 오보라고 하였지만, 경찰의 위상을 충분히 증명한다.

 

미국의 보안전문가들조차 북한은 미림대학에서 한 해에 100여명씩 양성되는 정보전사들로최정예의  사이버테러부대를 가지고 있는데 그 능력은 미국의 보안전문가들도 무색할 정도라고 평하고 있다.

특히, 대한민국을 대상으로 사이버전 전사를 양성하고 있는데, 평양의 지휘자동화대학, 김책공대, 평양컴퓨터기술대학 등의 졸업생 중에서 우수인력을 인민무력부 정찰총국 소속의 110호 연구소(기술정찰조)에 채용한다.

 

1968년 1월 21일 김신조 청와대 공격 사건
1968년 1월 23일 푸에블로 호 납치 사건. 정찰총국 개입보도는 없없다.
1968년 12월 9일 울진 삼척 무장공비 사건. 이승복 사건
1969년 4월 15일 EC-121 격추 사건. 정찰총국 개입보도는 없었다. 닉슨 행정부는 핵공격을 검토했다.
1983년 10월 9일 미얀마 아웅산 테러
1983년 12월 3일 부산 다대포 무장공비 사건
1987년 김현희 대한항공 폭파 사건
1996년 9월 16일 강릉지역 무장공비 침투사건. 인민무력부 정찰국 소속 상어급 잠수함 좌초. 김영삼 정부는 전투기 보복공습을 검토했다.
1996년 10월 1일 최덕근 블라디보스토크 영사 살해. 네오스티그민브로마이드 검출.
1997년 이한영 살해
1998년 6월 속초 잠수함 사건

2009년 6월 인민무력부 정찰총국 소속 110호 연구소(기술정찰조) 중국선양에서 한국대상 모의 해킹훈련 실시

2009년 7월 04일 웹하드를 통해서 유포된 악성파일이 미국사이트 공격 / 7.7 DDoS 사이버 테러 (110호 연구소/기술정찰조) / 진원지 체신성
2010년 3월 천안함 공격
2010년 4월 20일 황장엽 살해미수 사건. 정찰총국 스파이 2명 검거
2010년 10월 10일 황장엽 자택 욕조에서 심장마비 사망. 정찰총국 소행이라고 보도되지는 않았다.
2010년 11월 연평도 포격

2011년 03월 03일 기점으로 주요정부기관, 포털, 금융 등 DDoS 공격 (쉐어박스/슈퍼다운 웹하드 변조)

2011년 04월 12일 오후 5시경 농협 전산망에 대한 자료가 대규모로 파괴 (검찰은 북한소행이라고 발표) / 한국IBM 직원이 웹하드 통해 감염
2011년 8월 21일 김창환 선교사가 중국 단둥에서 살해. 정찰총국으로 유명한 네오스티그민브로마이드가 혈액에서 검출되었다.
2011년 8월 22일 10여년간 대북 인권활동을 해온 강호빈 목사가 옌지에서 네오스티그민브로마이드 독침을 맞았으나 사망하지 않았다. 2012년 5월 27일 옌벤에서 교통사고로 사망했다. 졸음운전으로 추정된다고 보도되었다.
2011년 9월 3일 대북삐라를 살포하는 자유북한운동연합 박상학 대표를 네오스티그민브로마이드로 독살하려던 탈북자 안모씨가 현장에서 국정원에 체포되었다. 56세인 안모씨는 1996년 탈북자로 2011년 4월 북한 정찰총국 공작원에 포섭되었다. 가족을 평양에 살 게 해주겠다는 회유를 받았다. 안모씨는 황장엽 비서의 측근인 김덕홍 여광무역 대표의 암살도 시도했다.

2012년 6월 09일 중앙일보 사이버 테러, 북한 체신성산하 통신회사인 조선체신회사 회선을 사용하는 PC에서 IsOne 사용자 접속 (고양이 사진)

 

 

2013년 3월 20일 대한민국의 주요 언론과 금융전산망이 마비되고, 서버 등이 다수 파괴되었다. 안랩과 하우리 모듈(ApcRunCmd.exe, Othdown.exe)처럼 악성파일 배포 / LGU플러스 그룹웨어 사이트를 변조시킨 Whois 동일

2013년 5월 31일 정보통신공제조합과 제큐어웹, 어니스트뉴스 홈 이용 정찰용 악성파일 유포

2013년 6월 25일 정부기관 등 해킹


 

Posted by viruslab

댓글을 달아 주세요

악성코드제작자2013.06.28 09:09


망분리를 한다고 100% 안전한것은 아니지만,,

 

기본적으로 필수가 된 상태이고, 보안전문가가 반드시 필요하다.

 

http://sbscnbc.sbs.co.kr/read.jsp?pmArticleId=10000574558

 

 

 

 

Posted by viruslab

댓글을 달아 주세요

악성코드제작자2013.06.28 09:03


이제는 Cyber War 로 촉발되고 있고 보안전문가들도 북한이라고 말할 수 있어야 한다.

 

사이버 예비군이 동원되어야 할 때가 아닐까? 


http://viruslab.tistory.com/2623


http://viruslab.tistory.com/2629


http://viruslab.tistory.com/2638


http://viruslab.tistory.com/2624


http://viruslab.tistory.com/2630

 

 

"북한 소행 가능성 더 커져"

http://www.ytn.co.kr/_ln/0102_201306280011468190

 

 

 

 

 

Posted by viruslab

댓글을 달아 주세요

악성코드제작자2013.06.27 10:34


6.25 전쟁

1950년 6월 25일 새벽 북한 공산군이 남북군사분계선인 38선 전역에 걸쳐 남침하여 남한과 북한이 싸운 전쟁

 

 

6.25 사이버전쟁

2013년 6월 25일 새벽부터 악성파일을 본격적으로 유포..

 

어나니머스가 선전포고

 

http://viruslab.tistory.com/2619

 

사실 그전부터 엄청 유포했음.

 

http://viruslab.tistory.com/908

 

 

Posted by viruslab

댓글을 달아 주세요

악성코드제작자2013.06.27 08:59


동일한 수법

 

 

 

 

Posted by viruslab

댓글을 달아 주세요

악성코드제작자2013.06.26 18:48


확인된 내용인데..@_@

 

잉?
일베와 하방 메인에 있었던 것으로 안다.
하방은 공격자의 C&C용 서버이고 테스트 목적이었을텐데? @_@

 

또 자기가 모른다고 다 아니라고 주장하는건가? 인터뷰한 사람하고 진짜 대면하고 싶다.

 

http://viruslab.tistory.com/2612


 

---------------------------------------------------------------

 

안랩 “정부기관 디도스 공격, 일베 통해 이뤄진 것 아냐”

 

청와대를 비롯한 정부기관 홈페이지에 대한 디도스(DDoS, 분산서비스거부) 공격이 '일간베스트 저장소(일베)'를 통해 이뤄진 것은 아니라는 분석이 나왔다.

 

26일 보안업체 잉카인터넷은 "일베를 통해서 청와대와 국정원, 새누리당 등의 홈페이지를 공격하는 코드가 삽입된 것으로 확인됐다"고 밝힌 바 있다.

 

이와 달리 안랩 측은 일베가 디도스의 경유지는 아니었다는 입장을 내놓았다.


안랩 관계자는 "청와대와 국정원, 새누리당 홈페이지가 악성스크립트 방식의 디도스 공격을 받은 것은 맞다"며 "이는 공격자가 특정 웹사이트에 악성스크립트를 설치하고 사용자들이 이 사이트를 방문하면 미리 설정해놓은 웹사이트로 공격 트래픽을 발생시키는 방식"이라고 설명했다.

 

그러나 이 관계자는 "우리가 확인한 바로는 일베를 통해 디도스 공격이 이뤄진 것은 아니다. 다른 사이트를 통해 디도스 공격이 가해졌다"며 "해당 사이트를 공개할 경우 접속자가 몰리면서 또 다른 사태가 벌어질 수 있기 때문에 어디인지는 말해줄 수 없다"고 덧붙였다.

한편 일베는 전날 사이트가 해킹되면서 접속이 마비되기도 했으나 지금은 정상화된 상태다.


구자윤 기자

 

 

Posted by viruslab

댓글을 달아 주세요

악성코드제작자2013.06.26 13:24


오늘 새벽부터 주한 미군관련 사이트가 몇몇 해킹당했다.

 

자세한 정보 : http://erteam.nprotect.com/427

 

 

Posted by viruslab

댓글을 달아 주세요

악성코드제작자2013.06.26 00:13


1단계 DNS 쿼리 공격 (대전통합전산센터 GCC.GO.KR)

 

http://simdisk.co.kr/app/SimDisk_setup.exe

 

SimDisk_setup.exe -> SimDiskup.exe -> c.jpg (~simdisk.exe) -> sermgr.exe -> oleschedsvc.dll ->  wuauieop.exe

http://www.habang.co.kr/images/korea/c.jpg (2013년 6월 22일부터 유포된 이력 존재)

 

 

2단계 DNS 증폭(?) 공격 with Tor

 

http://simdisk.co.kr/app/SimDisk_setup.exe

 

SimDisk_setup.exe -> SimDiskup.exe -> c.jpg (~simdisk.exe) -> 프로세스 랜덤.exe / 프로세스 랜덤.exe [tor.exe] / config.ini

http://www.habang.co.kr/images/korea/c.jpg (2013년 6월 22일부터 유포된 이력 존재)

 

 

http://www.songsari.com/app/songsari_setup.exe

 

songsari_setup.exe -> songsariup.exe -> d.jpg -> 프로세스 랜덤.exe / 프로세스 랜덤.exe [tor.exe] / config.ini

http://www.habang.co.kr/images/korea/d.jpg

 

 

파일은 시차에 따라서 변종이 유포된 것으로 확인되고 있고, 6월 23일에도 제작된 것이 확인된 상태이다.

 

 

Posted by viruslab

댓글을 달아 주세요

악성코드제작자2013.06.25 21:47


그렇게 바꿀 방법이 없었나? 또 웹하드

 

http://erteam.nprotect.com/427

 

한참 정신없게 대응하고 있었는데, SBS 취재단 급습. ㅡ.ㅡ+

 

누가 무슨 목적으로 해킹?…미궁 속의 해커

http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1001851541

 

 

 

Posted by viruslab

댓글을 달아 주세요

악성코드제작자2013.06.25 10:34


공격이 시작됐다.

 

6.25가 이제는 사이버전으로..

 

새누리당신상정보 - 250만명

군장병신상정보 - 30만명

청와대신상정보 - 20만명

미25보병사단 - 1만5천명

미3해병사단 - 1만명

미1기병사단 - 1만5천명

 

 

 

Posted by viruslab

댓글을 달아 주세요

악성코드제작자2013.06.20 18:05


이놈들이 역으로 고소를 했다고 내용증명을 보내왔다.
http://imnews.imbc.com/replay/nwtoday/article/3291890_5782.html

 

http://www.boannews.com/media/view.asp?idx=36378&kind=0

 

 

웃낀건 현재는 내용을 모두 제거하고 성인사이트로 변경해 놨다.

http://n-protect.co.kr/index.html

 

이미 증거자료는 모두 확보하고 있는 상태인데.. 니들 제대로 걸렸다.

 

 

 

Posted by viruslab

댓글을 달아 주세요

  1. 웃긴 놈들이군요. 저렇게 초반에 잡지 않으면 나중에 막나갈 듯 싶습니다.

    2013.06.20 19:28 신고 [ ADDR : EDIT/ DEL : REPLY ]

악성코드제작자2013.06.20 14:58


[단독] 어나니머스, 북한 조선중앙방송사 해킹해 송출 중단시켰다
http://www.etoday.co.kr/news/section/newsview.php?&idxno=750647

 

[단독] 어나니머스 “북한 내부망 해킹…군시설자료 등 5000건 문서 탈취”
http://www.etoday.co.kr/news/section/newsview.php?&idxno=750642

 

어나니머스 “수사기관, 우리 잡을 수 없다…증거 못 찾을 것”
http://www.etoday.co.kr/news/section/newsview.php?&idxno=750604

 

[단독] 어나니머스 “태국 통해 북한 해킹"…북한 내부 접속망 루트 3곳 최초 공개
http://www.etoday.co.kr/news/section/newsview.php?&idxno=750718

 

어나니머스 핵심멤버 “북한 핵시설도 해킹 가능”
http://www.etoday.co.kr/news/section/newsview.php?&idxno=750579

 

[단독 인터뷰] 어나니머스 핵심해커 2명 "1년전부터 북 내부망 해킹"
http://www.etoday.co.kr/news/section/newsview.php?&idxno=750403

 

[단독]어나니머스 핵심멤버 인터뷰… "북 미사일위치·군 고위층 정보 등 확보”
http://www.etoday.co.kr/news/section/newsview.php?idxno=750294

 

[단독] 어나니머스 “北 내부망 ‘광명’ 해킹…주민들 외부 인터넷 접속 가능해져"
http://www.etoday.co.kr/news/section/newsview.php?idxno=750350

 

 

 

 

 

Posted by viruslab

댓글을 달아 주세요

악성코드제작자2013.06.18 13:26


.

 

Posted by viruslab

댓글을 달아 주세요