[WIKI 단독] 위키리크스, 이번엔 CIA 엔젤파이어 폭로
[WIKI 단독] 위키리크스, 이번엔 CIA 엔젤파이어 폭로
  • 위키리크스한국
  • 승인 2017.09.01 07:15
  • 수정 2017.09.01 07:15
  • 댓글 0
이 기사를 공유합니다

강혜원 기자= CIA 해킹시스템인 볼트7 시리즈를 터뜨려 온 위키리크스가 이번에는 엔젤파이어(Angelfire)를 폭로했다.

위키리크스가 31일(현지시간) 공개한 엔젤파이어는 솔라타임, 울프크릭, 키스톤(종전의 매직원드), 배드MFS, 윈도우 임시 파일시스템 등 다섯가지 요소로 구성된 임플란트 시스템이다.

그래스하퍼, 애프터미드나잇 등 볼트 시리즈에서 이전에 발표됐던 프로젝트들과 마찬가지로 마이크로소프트 운영체제(XP 또는 Win7)를 실행하는 대상 컴퓨터에서 사용자 지정 임플란트를 로드하고 실행할 수 있는 영구 프레임워크다.

솔라타임은 파티션 부팅 섹터를 수정해 윈도우가 부팅 장치 드라이버를 로드 할 때 울프크릭 임플란트를 로드하고 실행한다. 실행된 울프크릭 임플란트는 다른 엔젤파이어 임플란트를 로드하고 실행할 수 있다. 추가 임플란트를 로딩하면 감염된 컴퓨터에서 탐지 될 수 있는 메모리 누수가 발생하게 된다.

키스톤은 울프크릭 임플란트의 일부이며 악성 사용자 응용 프로그램을 시작하게 된다. 적재 된 임플란트는 파일 시스템을 절대 건드리지 않으므로 프로세스가 실행되었음을 알리는 증거가 거의 없다.

배드MFS는 활성 파티션의 끝에서 생성되는 은밀한 파일 시스템을 구현하는 라이브러리다. 울프크릭이 시작할 모든 드라이버와 임플란트를 저장하는 데 사용된다. 문자열이나 PE 헤더 검색을 피하기 위해 모든 파일이 암호화된다. 은밀한 파일 시스템에 대한 참조가 "zf"라는 파일에 저장되기 때문에 배드MFS의 일부 버전을 탐지 할 수 있다.

윈도우 임시 파일 시스템은 엔젤파이어를 설치하는 새로운 방법이다. 독립적인 구성 요소를 디스크에 배치하는 대신 운영자는 설치- 엔젤파이어에 파일 추가- 엔젤파이어에서 파일 제거 등의 절차에 따라 특정 작업에 대한 임시 파일을 만들 수 있다. 일시적인 파일은 'UserInstallApp'에 추가된다.

위키리크스는 앞서 생체 정보를 수집하는 기능을 가진 멀웨어 '엑스프레스레인(ExpressLane)'를 공개한 바 있다. 엑스프레스레인은 CIA가 다른 기관에 제공하는 생체 인식 수집 시스템과 함께 배치되도록 설계된 시스템이다.

파트너 기관은 CIA에 특정 생체 인식 데이터에 대한 액세스 권한을 제공하기로 동의하고 있지만, 기관이 그러한 정보를 제공하지 않을 경우 엑스프레스레인은 해당 기관이 알지 못하는 사이에 정보를 수집해가게 된다.

엑스프레스레인은 CIA 기술자가 직접 방문해 소프트웨어 업데이트를 가장하는 것으로 알려졌다. 프로그램 자체가 변경되지는 않지만 시스템의 데이터를 USB나 휴대용 드라이브로 옮겨가는 방식이다. 파트너가 가짜 업데이트를 거부하면 에이전트가 일정 기간 후에 전체 시스템을 종료할 수 있는 숨겨진 킬-스위치가 작동한다.

해당 시스템으로부터 몰래 생체 정보를 복제하고 약속이 지켜지지 않을 때 시스템을 무력화시키는 기능을 가졌다. 위키리크스는 이 프로그램이 FBI나 국토안보부와 같은 미국 기관에 주로 사용됐다고 밝혔다.

위키리크스가 공개해온 CIA 볼트7 시리즈

Angelfire - 31 August, 2017
ExpressLane - 24 August, 2017
CouchPotato - 10 August, 2017
Dumbo - 3 August, 2017
Imperial - 27 July, 2017
UCL / Raytheon - 19 July, 2017
Highrise - 13 July, 2017
BothanSpy - 6 July, 2017
OutlawCountry - 30 June, 2017
Elsa - 28 June, 2017
Brutal Kangaroo - 22 June, 2017
Cherry Blossom - 15 June, 2017
Pandemic - 1 June, 2017
Athena - 19 May, 2017
AfterMidnight - 12 May, 2017
Archimedes - 5 May, 2017
Scribbles - 28 April, 2017
Weeping Angel - 21 April, 2017
Hive - 14 April, 2017
Grasshopper - 7 April, 2017
Marble Framework - 31 March, 2017
Dark Matter - 23 March, 2017
Angelfire - 31 August, 2017

kbs1345@naver.com

기자가 쓴 기사

  • 서울특별시 마포구 마포대로 127, 1001호 (공덕동, 풍림빌딩)
  • 대표전화 : 02-702-2677
  • 팩스 : 02-702-1677
  • 청소년보호책임자 : 소정원
  • 법인명 : 위키리크스한국 주식회사
  • 제호 : 위키리크스한국
  • 등록번호 : 서울 아 04701
  • 등록일 : 2013-07-18
  • 발행일 : 2013-07-18
  • 발행인 : 박정규
  • 편집인 : 박찬흥
  • 위키리크스한국은 자체 기사윤리 심의 전문위원제를 운영합니다.
  • 기사윤리 심의 : 박지훈 변호사
  • 위키리크스한국 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2024 위키리크스한국. All rights reserved.
  • [위키리크스한국 보도원칙] 본 매체는 독자와 취재원 등 뉴스 이용자의 권리 보장을 위해 반론이나 정정보도, 추후보도를 요청할 수 있는 창구를 열어두고 있음을 알립니다.
    고충처리 : 02-702-2677 | 메일 : laputa813@wikileaks-kr.org
ND소프트