1722929080241.jpg

 

 

hss-cache798.gif

 

 

2025년 4월 19일 SK텔레콤의 홈 가입자 서버(HSS) 시스템에 침입한 해커의 악성코드로 가입자들의 유심 정보가 유출된 대규모 개인 정보 유출 사태다. 


Home Subscriber Server, 가입자 정보를 중앙에서 통합 관리하는 핵심 데이터베이스 시스템 서버이다. 가입자 식별 정보, 인증 및 보안 정보, 사용자가 가입한 요금제, 부가서비스, 권한, 위치 정보, 과금 및 정책 적용 정보 등 모든 통신 서비스의 기반이 되는 중요한 서버라 최우선적으로 보안을 지켜야 하는 곳이다.


유출된 값은 IMEI, IMSI, ICCID, 유심 인증키(K값) 으로 추정. 


 BPF도어(BPFDoor) 악성 코드로 인한 백도어 공격으로 말미암아 정보 유출이 발생한 것으로 파악됐다. 


알 수 없는 경로로 리눅스에 설치된 BPFDoor 해킹 모듈이 원인인데, 평소에는 해당 모듈이 통신 흔적도 없이 조용히 있다가 특정 패킷이 들어오면 프로세스가 활성화되어, 아웃바운드로 통신포트를 열게 된다. 해커는 해당 모듈을 통해 명령어를 수행하고 정보를 탈취하게 된다. 국내 업계의 관행상 강제적 접근 제어 (Mandatory Access Control; MAC) 모듈인 SELinux (Security-Enhanced Linux)를 Enforcing (필터링, 로깅) 상태가 아닌 Permissive (로깅 전용)나 Disabled (완전 해제) 상태로 설정했을 가능성이 높아 컨텍스트 통제의 영향을 받지 않고 해킹 모듈이 내부 전산에서 손쉽게 활동했을 수 밖에 없다.


BPF도어는 2021년 프라이스워터하우스쿠퍼스사의 위협 보고서를 통해 처음 알려진 악성 코드로, 중국 기반의 APT 해커 그룹 레드멘션(Red Menshen)이 중동과 아시아 지역의 통신 업체, 금융 서비스 등을 공격하는 데에 수 년간 활용해 왔다.


다만 BPF도어 악성 파일 제작에 사용되는 소스 코드가 GitHub에 오픈 소스로 공개돼 있으므로 공격자를 레드멘셴으로 특정할 수는 없는 상황이다.

 

공격자의 흔적이애우~ 

악성코드 파일 리스트[165.232.174.130]

hpasmmld(2,265KB), smartadm(2,067KB), 

hald-addon-volume(2,071KB), dbus-srv-bin.txt(34KB)

 

 

 

 

 

 

 

정리해보자우)

0. 먼저 저는 비전문가인 점을 밝혀우~ 

1. HSS라는건 쉽게말해 족보, 동사무소같은거애우~ 

2. 어디보자 밀양 박씨 수달공파 33대손 맞습니까? 할때 맞으요! 틀리요! 해주는 서버애우~

3. 그러니 절대로 뚫리면 안되는 곳이지우~ 

4. 근데 뚫훓뚜뚜 따다다@_@? 

5. 털린 정보는 대애충 유심 복사해서 

'카게무사, 그림자 분신술!' 해서 장난 칠 만큼의 정보로 추정되우~ 

6. 그라믄 BPF 백도어가 뭔데? 하믄 

7. 혹시 Wake on Lan;WOL 이라는 거 아새우? 

8. 원격으로 '깨어나라 무슈!' 하면 컴퓨터가 "나는 용이닷!" 하고 깨는(turn ON)거애우~ 

9. 그걸 잘 만질만질 조물조물얌냠 한게 BPF 백도어애우~ 

10. 그럼 어떤 원리로 움직이냐, 

11. 일단 암때나 첫번째 코드를 키스방 명함처럼 막 뿌려우~ 

12. 제목은 기깔나게 "전사적 C형 인센티브 지급 신청 검토바랍니다.

13. 그리고 참조에 인사팀 또는 회계팀 적어놔우~ 

14. 어지간한 직원이라믄 인사나 회계팀 메일이겠군 하고 안볼테지만 

15. 또 누군가는 돈 이야기니까 궁금하자나우~ 그라믄 살짝 눌러봐우~ 

16. 그러면 감염이 시작된거애우~ 

17. 당장엔 아무일이 안 일어나우~ 내용도 별거 없어우~ 

18. 인센티브 신청할라믄 이번 월말까지 시행되는 것이도
사전에 교부된 첨부자료확인바란다. 뭐 두루뭉실하게 써우~ 

19. 자, 이제 감염된 더미에게 해커가 또 다시 키스방 찌라시2 뿌려우~ 

20. 키스방1에 오염된 컴에 키스방2가 만나면, tcp/ip 랜선 민속놀이가 접속되는거애우~

21. 상대가 저그인지 토스인지부터 맵핵 켜서 뭐하나 다 들여다 볼 수 있게 되는거애우~ 

22. 이제 해커는 키스방1과 키스방2가 접촉된 IP를 받아서 직접 미네랄을 캐는거애우~ 

23. 혹시나 제 설명이 사실과 다르다면 알랴주새우~ 

 

 

 

 

 

 

 

 

 

fig1-detecting-bpfdoor-backdoor-variants-abusing-bpf-filters.png

tcp 포트 8080 뭐 있나 두리번, 

 

fig2-detecting-bpfdoor-backdoor-variants-abusing-bpf-filters.png

4바이트 말고 8바이트로 보자우~ 0000 네자리가 더 늘어난 상황이애우~ 

 

fig4-detecting-bpfdoor-backdoor-variants-abusing-bpf-filters.png

대충 초기 백도어의 명령문이 30개 정도로 구성되어 있구우~ 

 

 

fig9-detecting-bpfdoor-backdoor-variants-abusing-bpf-filters.png

이걸 삭삭 돌리믄 이케이케 활성화된 포트(백도어)을 알려줘우~ 

 

fig10-detecting-bpfdoor-backdoor-variants-abusing-bpf-filters.png

이건 그 형태를 다르게 뽑아낸 거애우~ 

여기까지가 스타 접속하기까지이구우~ 

미네랄 캐는 장면은 없어우~ 끗!