러시아 해커가 미국 대통령 선거에 영향을 미쳤다는 소식을 접하면서 많은 언론에서 해커를 식별하는 방법에 대해 궁금해했습니다. 사이버 보안 전문가가 해킹의 배후를 찾는 방법에는 여러 가지가 있습니다.
IP 주소
해커를 추적하는 첫 번째이자 가장 확실한 방법은 해커의 IP 주소를 사용하는 것입니다. 이제 가치가 있는 해커는 의미 있는 정보가 없는 IP 주소를 사용할 것입니다. Tor, VPN 또는 공공 장소에서도 작동합니다. 그러나 추적하려는 해커가 예외적으로 경험이 없거나 실수로 IP 주소를 노출했다고 가정해 보겠습니다. 그들의 IP로 그들을 찾는 것은 다음과 같이 작동할 수 있습니다:
1. 해커는 목표(무엇이든 간에)를 성공적으로 달성했지만 특정 IP 주소에서 네트워크 액세스를 보여주는 로그를 남깁니다.
2. 해킹된 회사 또는 개인은 해당 로그를 법 집행 기관에 전달합니다.
3. 법 집행관은 ISP에 소환하여 누가 해당 IP 주소를 소유하고 있는지 또는 공격 당시 누가 IP 주소를 사용하고 있었는지 알아냅니다. 그러면 수사관은 이 IP 주소를 물리적 위치와 연결할 수 있습니다.
4. 수사관은 영장을 받은 후 IP 주소가 표시된 물리적 위치로 이동하여 수사를 시작합니다.
5. 우리 해커가 정말 멍청했다면 조사관은 해킹의 증거를 어디에서나 찾을 수 있을 것입니다. 그렇다면 해커가 자신의 범죄로 감옥에 보내지기까지 짧은 재판이 될 것입니다.
물론 대부분의 해커가 프록시 뒤에서 작업하기 때문에 법 집행 기관에서 얻은 IP 주소는 유용한 곳이 아닙니다. 즉, 다른 기술을 사용하거나 해커가 실수할 때까지 기다려야 합니다.
경로 추적
숙련된 해커를 조사할 때 컴퓨터 포렌식은 작은 실수와 정황 증거를 찾는 것으로 귀결됩니다. 공격자의 집에는 큰 빨간색 화살표를 가리키는 IP 주소가 없습니다. 대신, 잠재적인 가해자에 대해 좋은 추측을 하는 데 도움이 될 수 있는 작은 빵 부스러기를 많이 갖게 될 것입니다.
해킹의 복잡성으로 인해 잠재적 가해자를 고도로 숙련된 요원으로 제한할 수 있습니다. 미국 정보 기관은 이름을 모르는 경우에도 이전 공격 기록을 보관하고 특정 해커와 연관시킵니다.
예를 들어, 미국 법 집행 기관은 DNC 해커 APT 29 또는 Advanced Persistent Threat 29라고 불렀습니다. 우리는 그 사람의 이름과 주소를 모를 수 있지만 여전히 스타일, 작업 방식 및 소프트웨어 패키지.
해킹에 사용된 소프트웨어 패키지 유형은 "서명" 패턴을 제공할 수 있습니다. 예를 들어, 많은 해커는 고도로 맞춤화된 소프트웨어 패키지를 사용합니다. 일부는 국가 정보 기관으로 거슬러 올라갈 수도 있습니다. DNC 해킹에서 법의학 수사관은 해킹에 사용된 SSL 인증서가 2015년 독일 의회 해킹에서 러시아 군사 정보부가 사용한 인증서와 동일하다는 것을 발견했습니다.
때로는 정말 사소한 일입니다. 해킹을 특정 개인과 연결하는 무작위 커뮤니케이션에서 반복되는 이상한 문구일 수도 있습니다. 아니면 소프트웨어 패키지가 남긴 작은 이동 경로일 수도 있습니다.
이것이 DNC 해킹이 러시아와 관련이 있게 된 방법 중 하나입니다. 익스플로잇의 조사관은 해킹에 의해 공개된 Word 문서 중 일부가 Word의 러시아어 현지화와 키릴 자모 사용자 이름을 가진 사용자가 수정한 것으로 나타났습니다. 버그가 있는 도구는 해커의 위치를 밝힐 수도 있습니다. 인기 있는 DDoS 유틸리티인 Low Orbital Ion Cannon에는 사용자의 위치를 밝힐 수 있는 버그가 있었습니다.
구식 경찰 업무도 해커를 찾는 데 도움이 됩니다. 특정 대상은 가해자를 식별하는 데 도움이 될 수 있습니다. 법 집행 기관이 공격의 동기를 파악하는 경우 정치적 동기가 원인일 수 있습니다. 해킹이 한 그룹이나 개인에게 의심스러울 정도로 유익한 경우 어디를 봐야 하는지 분명합니다. 해커가 은행 계좌에 돈을 퍼붓고 있을 수 있으며 이는 추적 가능합니다. 그리고 해커는 자신의 피부를 보호하기 위해 서로를 "비웃는" 면역이 없습니다.
마지막으로, 때때로 해커는 단지 당신에게 말합니다. 해커가 Twitter 또는 IRC에서 최근 공격에 대해 자랑하는 것을 보는 것은 드문 일이 아닙니다.
조사관이 탐색경로를 충분히 추적할 수 있다면 더 완전한 그림을 구축하고 의미 있는 IP 주소를 손에 넣을 수 있습니다.
해커 체포
해커의 코드명을 아는 것과 실제로 해커를 손에 넣는 것은 다른 문제입니다. 종종 해커를 체포하는 것은 작은 실수로 귀결됩니다. 예를 들어, Lulzsec의 리더인 Sabu는 Tor를 사용하여 IRC에 로그인하는 것을 소홀히 하여 적발되었습니다. 그는 한 번만 실수를 했지만, 그를 감시하는 기관에서 그의 실제 물리적 위치를 파악하기에 충분했습니다.
결론
법 집행 기관은 놀랍도록 다양한 방법으로 해커를 찾습니다. 종종 가해자의 작지만 중요한 실수로 귀결됩니다.