2025년 9월 6일 토요일

(보안전문가의 생각) SKT에 이은 LGU+, KT 해킹 사태!?

           , , , , ,      No comments   

지난달 8/19일 미국 해킹 전문지 Phrack (https://phrack.org/issues/72/7_md) 에서는 LGU+, KT가 해커 조직 김수키에 의해 해킹 당했다는 글을 게재했다.

1. KT는 원격 제어 서비스의 인증서와 개인키가 해킹 당해서 KT에서 원격 지원을 제공한 모든 회사에 접근할 수 있었다는 내용 

2. LGU+는 해커가 LGU+에서 사용하는 SECUREKI를 해킹한 뒤, 이를 통해 LGU+ 내부 네트워크로 침투하여 계정과 비밀번호가 해킹 당했다는 내용 (4만 2526개 계정 및 직원 167명과 협력사 ID, 실명 등이 포함)

Phrack에서의 정확한 표현은 다음과 같다.

- There is a cert and private key for rc.kt.co.kr, South Korea
  Telecom's Remote Control Service. It runs remote support backend from
  https://www.rsupport.com. Kim may have access to any company that Korea
  Telecom was providing remote support for.

- Lots of passwords in mnt/hgfs/Desktop/111/account/account.txt from "LG
  Uplus" (LGU), a South Korean mobile operator. The favicon-search indicates
  that KIM first hacked into SECUREKI, a company supplying MFA and password
  services to LGU and from there pivoted into LGU's internal network.



8/22 프랙 보고서 분석회 발표는 고려대 정보보호대학원 김휘강 교수님이 해 주셨는데,

국회에 따르면 KT와 LGU+는 해킹으로 볼 수 없다고 버티면서 정밀조사가 진행되고 있지 않다고 한다.

현행법상 기업의 자진신고가 없으면 강제로 현장 정밀 조사를 할 수 없기 때문에 그렇다.


솔직히 Phrack의 글만 보았을 때는 SKT 사태처럼 유심 관련 정보가 털렸다고 생각되지는 않는다. 

그런데 문제는 이것이 전부가 아닐수 있다는 점이고, 그것이 가장 무서운 점이다.

실제로 최근 KT에서 소액결제가 사용자 모르게 강제로 일어나고 있어 주의가 필요한 상황이라고 하는데,

왜 사용자가 주의 해야 하는지...어떻게 주의해야하는지 참... 난감하다


참고로 KT처럼 서버의 인증서와 개인키를 탈취당하게 되면, 중간자 공격이 가능하다는게 메인 임팩트지만 

사실 개인키가 탈취 당하는 과정을 생각해보면 서버의 모든 것이 완전히 장악 당했다고 봐도 무방하다. 

































            

          

          

        

2025년 8월 22일 금요일


          

        










삼성 안드로이드 폰에서 루팅, tcpdump 없이 패킷 덤프하기 (BLE, Wifi 모두 캡쳐 가능!)




    
    
 , , , , , , , , , ,    
 No comments   















루팅, 설치 없이 아주 쉽게 패킷을 덤프할 수 있습니다 
(삼성 안드로이드 폰, 갤럭시 S24까지 가능)

If you have a Samsung Android phone, you can dump packets without rooting or installing any apps!

삼성 갤럭시 키패드 *#9900# OTP 해제 방법 (온라인) :
https://securekim.com/OnlineSamsungMobileOTP



우선 다음 설정을 시작한다.
0. Developer Mode On
    - 설정 -> 휴대전화 정보 -> 소프트웨어 정보 -> 빌드 번호 여러번 탭
 
그리고 이제 블루투스 패킷을 캡쳐할지, Wifi 패킷을 캡쳐할지에 따라 조금 달라진다.
1. Bluetooth Packet Capture
- 개발자 옵션 메뉴에서 Bluetooth HCI 스누프 로그 사용 enable 이후 블루투스를 껐다 켠다
- 캡쳐하고자 하는 행위 이후, 전화 메뉴의 키패드에서 *#9900#을 입력한다.
- 메뉴에서 Run dumpstate/logcat 클릭한다
- copy to sdcard 클릭한다
- PC 연결 후 /log/bluetooth/btsnoop_hci_...cfa 파일을 복사한다. (btsnooz 로 시작하는 파일 아님)

2. Wifi Packet Capture
- 캡쳐하고자 하는 행위 이전, 전화 메뉴의 키패드에서 *#9900#을 입력한다.
- 메뉴에서 TCP DUMP START 버튼을 누르면, 5자리 key 값과 함께 OTP가 필요하다는 메시지가 나온다.
- 아래 사이트에 가서 OTP Authentication Key 5자리 값을 입력하고, 결과를 입력하여 잠금을 해제한다.
https://securekim.com/OnlineSamsungMobileOTP
- 다시 TCP DUMP START를 눌러서 패킷 캡쳐를 시작한 뒤, 캡쳐하고자 하는 행위를 시작한다.
- 캡쳐를 중단하려면 TCP DUMP STOP을 누른다
- copy to sdcard 클릭한다






















            

          

          

        

2025년 7월 4일 금요일


          

        










루이비통 해킹




    
    
 No comments   














문자가 와서 25년 6월 8일에 해킹당했는데 한달이 지난 7월 2일에 루이비통이 해킹당한 사실을 인지했다고 한다. 
정말 지금 안것일까?
황당하다. 내 개인정보는 어디로 간것일까.. 
거기에 어떤 정보가 있었을까...? 기억도 잘 안난다.

























        

      


































페이지











Popular Posts








































각오



직접 해보지 않은 것은 포스팅 하지 않겠습니다.