원격 조작 바이러스 사건

 


2012년 일본에서 발생하여 2014년 5월까지 진행 되었던 사건
1. 사건
2. 수법
3. iesys.exe


1. 사건


2012년 중순, 일본에서 일련의 범행 예고 사건이 발생했다. 총 5명이 2ch 등의 인터넷 게시판에 총 13건(그 중 7건만 언론 보도됨)의 범행 예고를 올린 혐의를 받았고, 그 중 4명이 체포되었다. 경찰 조사 초기에는 모두 범행을 부인했지만, 조사가 진행됨에 따라 3명이 자신의 범행을 인정했다. 하지만 조사 도중 용의자들의 PC에서 사건에 관여한 것으로 생각되는 트로이 목마가 발견되었고 결국 용의자들은 무혐의로 풀려났다.[1]
그 뒤, 10월 9일과 10월 10일에 변호사와 방송국에 자신이 진범이라고 주장하는 메일이 도착했다. 메일에는 언론에 보도되지 않았던 6건의 사건에 대해서 적혀 있었으며 기존 사건에 사용된 범행 예고문과 정확히 일치하는 내용이 들어 있었다. 이와 함께 다른 수많은 이유로 메일이 진범으로부터 보내진 것으로 확인되었다.
11월 13일, 변호사와 언론사에 "실수했다. 잡히기 싫어서 자살한다"라는 내용의 메일이 발송된다. 메일에는 당일 자 카나가와 신문과 함께 카나메 마도카의 피규어가 LAN선으로 된 올가미 안에 놓여 있는 사진이 첨부되어 있었다. 사진의 EXIF 정보에는 위치 정보가 기록되어 있었지만, 일부 자료가 누락되는 등 데이터 변조의 흔적이 남아있었다.
2013년 1월 1일, 여러 언론사에 "근하신년"이라는 제목의 메일이 도착했다. 메일의 첨부 파일에는 5개의 퀴즈가 포함되어 있었다. 퀴즈의 답에는 도쿄도사이타마현에 걸친 쿠모토리 산의 특정위치에 범행에 사용된 트로이 바이러스 관련 자료가 저장된 저장 매체가 묻혀있다는 내용이 적혀있었다. 1월 2일에 경찰이 해당 지점을 수색했지만, 저장 매체는 발견되지 않았다.
1월 5일, 진범에게서 "신춘 퍼즐 ~연장전~"이라는 제목으로 메일이 도착했다. 이 메일의 첨부 파일에는 3개의 퀴즈가 포함되어 있었다. 그 중 3번째 퀴즈는 4장의 사진을 통해서 에노시마 지역에서 SD카드가 달린 분홍색의 목걸이를 한 고양이를 찾아내라는 내용이었다. 당일 9시경, 경찰이 해당 고양이를 발견했고 SD카드를 회수했다. 목격자들은 1월 3일에서 1월 4일 사이에 고양이의 목걸이가 부착된 것으로 진술했다.
2월 10일 아침, 속보로 원격 바이러스 사건의 범인이 체포되었다고 한다! 범인은 도쿄도 코토구의 카타야마 유스케라는 30대 남성이라고 한다. TV에서 속보로 뜰 정도로 큰 사건임을 보여주는 듯. 이후 거의 1년 내내 자신의 결백을 주장하다가 2014년 5월, 알리바이를 조작하는 것이 미행 중인 경찰에게 들통나 진범임을 자백했다. 알리바이 조작이라는 것은 대단한 것은 아니고 대포폰을 구해서 대포폰으로 "내가 진범이다"라는 이메일을 예약 발송을 해놓고 땅에 묻는 것이였다.

2. 수법


진범은 Tor를 사용해 자신의 IP 주소를 은폐했다.
범행 예고 사건의 용의자 중 한 명은 CSRF를 통해 사건에 연루되었으며, 다른 4명은 무료 소프트웨어 서버에 진범이 올린 'iesys.exe'를 내려받으면서 범행에 연루되었다. 'iesys.exe'는 말웨어가 포함된 트로이 목마 프로그램으로 진범은 이 프로그램을 사용해 인터넷 게시판에 범행 예고 글을 작성했다.

3. iesys.exe


트로이 목마 프로그램인 'iesys.exe'는 키로거, 스크린샷 찍기, 파일 업로드 / 다운로드, 업데이트, 특정 페이지에 게시글 작성 등의 기능이 있다.
iesys.exe는 기존의 바이러스의 변종이 아닌 완전히 새로 작성된 바이러스이며, 기존의 바이러스가 IRC 등을 통해 명령을 받은 것과 달리 특정 게시판에 기록된 명령을 받아서 해석해 실행하는 특징을 가지고 있다. 이 프로그램은 Visual Studio 2010에서 C\#으로 작성되었다.

[1] 그중에는 건담 더블오 등을 연출한 애니메이터 키타무라 마사키도 있었다고.