당신의 생생한 제보를 기다립니다.

3. 4 DDos 사건의 공격자는 7. 7 DDos와 동일범
입력 : 2011-04-06 11:30
조회수 : 1,379회



3. 4 DDos 사건의 공격자는 7. 7 DDos와 동일범



- 해외 70개국 746대 서버 동원, 디도스 공격 주도 -

경찰청(사이버테러대응센터)

지난 3. 3부터 3. 5까지 국내 주요 40개 사이트를 대상으로 발생한 DDos 공격에 대한 수사결과, ’09. 7. 7 발생한 DDos 공격과 동일범임을 확인했다고 밝혔다.

경찰청은

행안부․방통위(한국인터넷진흥원) 등 유관기관과 협조, 악성코드 유포사이트국내 감염 좀비PC․해외 공격명령서버를 확보하여 정밀 분석한 결과,

○ 불상의 해커가 파일공유사이트의 업데이트 파일을 바꿔치기 하는 수법으로 악성코드를 유포하여 10만여대의 PC를 감염시킨 뒤, 해외 70개국 746개 공격명령서버(C&C : Command & Control)에서 실시간으로 좀비PC를 제어하면서 공격명령을 하달하는 등 공격 실체를 규명하였다.

특히 ’10년 8월이후 7개월간 국내 파일공유사이트 및 해외공격명령서버를 해킹한 중국 소재 공격근원지 IP들을 확인하고 이중 일부는 디도스 공격기간 중 좀비PC로 위장하여 진행상황을 점검한 사실도 밝혀냈다.

7. 7 DDos 공격자와 동일범임을 판단하는 근거로

파일공유사이트를 통해 악성코드를 유포하고 여러단계의 해외 공격명령서버(C&C : Command & Control)를 이용하여 공격을 시도하는 등 디도스 공격체계 및 방식이 동일하다는 점, 악성코드의 설계방식 및 통신방식이 정확하게 일치하는 등 동일 프로그래머에 작성된 것으로 입증된 점

특히 3. 4 DDos 공격과 7. 7 DDos 공격시 활용된 해외 공격명령서버 일부가 동일한 점 등을 결정적 증거로 제시하였다.

전세계 IP 주소는 42억개 이상으로 공개되지 않은 7. 7 DDos의 C&C 서버와 동일한 IP를 사용했다는 것은 동일범이 아니면 불가능

경찰청은

○ 향후에도 공격근원지 확인 및 해외 공격명령서버 추가 확보위해 국제공조수사를 요청하는 등 계속 수사할 계획이라고 밝혔다.

7. 7 DDos 사건 : ’09. 7. 7 ∼ 9일까지 61개국 총 435대 서버를 활용, 한․미 주요기관 등 총35개 사이트를 DDos 공격, 경찰 수사결과 공격근원지가 중국에 소재한 북한 체신성으로 확인

【첨부】공격 체계도

【첨부】7. 7 디도스 공격과 비교

구 분

’09. 7. 7 디도스

’11. 3. 4 디도스

비 고

공격대상 사이트

국내 21개 사이트

해외 14개 사이트

국내 40개 사이트

국내 15개

사이트 중복

유포경로

파일공유사이트

파일공유사이트

유포수법

자동업데이트 파일을

악성코드로 바꿔치기

자동업데이트 파일을

악성코드로 바꿔치기

DDoS 공격수법

세션공격 중 CC공격

세션공격 중 CC공격

Cache Control의 약자로 디도스공격의 한 수법

공격 특징

특정일시에 맞춰

공격대상 재지정

특정일시에 맞춰

공격대상 재지정

자료삭제 기능

특정일시에 좀비PC 삭제

특정일시에 좀비PC 삭제

C&C 서버

61개국 435대

4단계 구조 및 마스터 서버 존재

70개국 746대

3단계 구조 및 마스터 서버 존재

일부 중복

악성코드 기능

디도스 공격 / 하드디스크 삭제

정보유출 / 스팸메일 발송

디도스 공격 / 하드디스크 삭제


Copyright by SIMINTV Co.Ltd. All Rights Reserved.