Trends of Telegram DaaS (DDoS as a Service) groups: their hacktivist motivations, attack techniques (2023~2024)

Author: HOTSAUCE (Threat Detection Team) | S2W TALON

Last Modified: Jun 07, 2024

Photo by NASA on Unsplash

Executive Summary

• 최근 네트워크 연결 고속화 및 신규 DDoS 공격 유형 출현이라는 배경에 기반하여 DDoS 공격 건 수는 2022년 대비 2023년 약 2배 증가했고, 2020년 대비 2021년 100Gbps 이상의 공격 횟수 2배 증가 및 500Gpbs 이상의 공격이 287% 증가하며 DDoS 타격 규모도 함께 커진 것으로 확인됨.
• 특히 DDoS 공격 사실 전파의 용이성을 확보하고 DDoS, DaaS*를 제공하기 위해 텔레그램을 사용하는 DDoS 공격 그룹들이 확인됨.

*DaaS (DDoS as a Service): DDoS를 서비스화하여 일정 금액의 돈과 타겟을 제공하면 DDoS 서비스를 대신 해주는 서비스

• 텔레그램에서 활동하는 DDoS 공격 그룹은 정치, 사회적인 반감으로 영향력 과시 및 자신의 신념을 표현하기 위해 표적을 공격하거나, 혹은 DDoS, DaaS 서비스를 제공하며 수익 창출을 목적으로 활동함.
• 해당 그룹들은 DDoSia, CYBERBOOTER.SU, DDOS-V4 등 다양한 DDoS 공격 도구를 활용하고 있으며, 합법적인 Stresser를 과도하게 악용하여 DDoS 공격에 활용하거나 비용을 지불할 시 표적만 제공하면 DDoS 서비스를 대리로 수행해주는 경우도 확인됨.
• 텔레그램 특성에 따라, 텔레그램 유저들도 손쉽게 DDoS 관련 텔레그램 채널에 손쉽게 유입될 가능성이 있고 특히, S2W 위협 인텔리전스 센터에서 확인한 30개 DDoS 서비스 텔레그램 채널의 구독자 수는 평균 1,483명으로 상당수의 유저들이 DDoS 채널을 구독중인 사실이 확인됨.
• 해당 채널에서는 자체적으로 운영중인 공식 DDoS 서비스 사이트를 홍보하거나, 서비스 업데이트 공지와 관련한 이력을 지속적으로 업로드하며 활발한 활동을 보임.
• 본 보고서에서는 DDoS 공격 이해를 돕고, 특히 Telegram 에서 DDoS 공격을 수행한 그룹의 공격 동기 및 DDoS 도구와 서비스를 분석하여 정보를 제공함.

Detailed Analysis

1. DDoS 개념 및 사례 소개

1.1. DDoS 개념

DDoS는 Distributed Denial of Service Attack의 줄임말로, 네트워크나 웹사이트에 악의적으로 대량의 트래픽을 유입시켜 서버가 동작할 수 없도록 하는 사이버 공격의 유형 중 하나이다. 이 경우, 피해 서버는 조작된 대량의 트래픽을 처리하기 위해 정상적인 트래픽을 처리하지 못하게 되며, 경우에 따라서는 과부하를 일으켜 서버가 다운되게 하는 공격이다.

그림 1. DDoS 공격 개요

DDoS 공격 방식은 다양하며, 2004년 4월 Computer Communication Review에 게재된 논문 A Taxonomy of DDoS Attack and DDoS Defense Mechanisms 에서는 DDoS 공격을 DA(Degree of Automation), EW(Exploited Weakness to Deny Service), SAV(Source Address Validity), ARD(Attack Rate Dynamics), PC(Possibility of Characterization), PAS(Persistence of Agent Set), VT(Victim Type), IV(Impact on the Victim)의 8가지 유형으로 분류하였다.

그림 2. DDoS 공격 분류

1.2. DDoS 공격 사례

2023년부터 2024년 초를 통틀어 위 공격 유형이 확인된 DDoS 공격 중, 주요 사례는 표 1과 같다.

표 1. 2023~2024 주요 DDoS 공격 사례

1.3. DDoS 공격 급증 배경

한국인터넷진흥원(KISA)에 따르면, 국내 2023년 유형별 침해사고 신고 통계에서 DDoS 공격이 2022년 대비 약 2배 증가한 것으로 파악된다. 2022년 신고된 DDoS 공격 피해 신고 건수는 총 122건이지만, 2023년에는 213건으로 약 두배 증가한 것으로 확인된다.

그림 3. 2023년 유형별 침해사고 신고 통계

아카마이 테크놀로지(Akamai Technologies)에서 발표한 보고서인 “A Retrospective on DDoS Trends in 2023 and Actionable Strategies for 2024”에 따르면, 2023년에 들어서 DDoS 공격의 건수가 급증한 것을 확인할 수 있다[그림 4].

2022년 4분기부터 2023년 3분기까지 12개월에 걸친 기간을 대상으로 분석한 결과, 기존에는 30%정도에 그쳤던 수평적 DDoS 공격이 2023년에 들어서 50%로 증가한 것을 확인할 수 있다. 이는 곧 국내 뿐 아니라, 전세계적으로도 DDoS 공격 피해가 증가하고 있는 점을 시사한다.

* 수평적(Horizontal) DDoS 공격이란, 여러 서비스 또는 리소스를 동시에 목표로 하여 네트워크 대역폭을 과부하 시키는 목적의 DDoS 공격을 뜻함.

그림 4. 수평적 DDoS 공격 통계

1.3.1. 네트워크 연결 속도 향상

이와 같이 DDoS 공격이 활발해진 요인에는 4G에서 5G로 넘어가면서 과거에 비해 네트워크 속도가 월등히 고속화 되었다는 배경이 있다. 4G의 경우 전송 속도(Throughput)가 2Gbps였으나, 5G의 경우 20Gbps로 증가하며 약 10배에 달하는 전송 속도 개선이 이루어졌다. 또한 지연 시간(Latency) 역시 4G의 경우 10–50ms로 측정되었으나, 5G의 경우 1ms보다 적은 시간이 측정되어 초저지연성이 개선된 것을 확인할 수 있다.

네트워크의 발전은 우리 생활에 있어 좋은 영향을 줄 것으로 예상된다. 반면, 5G로 넘어오면서 DDoS 공격이 더 용이해졌다는 관측도 나오고 있다. 2022년 Imperva에서 발간한 보고서에 따르면, 2021년에 100Gbps 이상의 공격 횟수가 2020년 대비 2배 증가했으며, 500Gpbs 이상의 공격이 287% 증가했다고 밝힌 바 있다. 그림 5은 Imperva에서 분석한 온라인 소매 업체 DDoS 월 평균 공격 횟수와 기록된 초당 최대 요청 수(Max RPS) 그래프로, 2022년 5월 들어서 Max RPS 수가 급증한 것을 확인할 수 있다.

그림 5. 2021–2022 7 layer 공격 통계

미국의 통신 기업인 Zayo에서 발간한 보고서에 따르면, 2023년 상반기 동안 확인된 DDoS 공격 중 가장 큰 규모의 공격은 온라인 공개 비디오 통신 회사를 향한 980 Gbps 공격이었다. 2019년부터의 DDoS 공격 트래픽 통계를 종합하면, 5G의 등장과 네트워크의 성능이 고도화 되면서 DDoS 공격의 규모도 점점 확장되고 있음을 생각해볼 수 있다.

그림 6. 2023년 상반기 대형 DDoS 공격 통계

1.3.2. 신규 DDoS 공격 유형 출현

관련해 2023년 10월, 구글에서 발표한 새로운 0-day인 DDoS 공격 유형이 발표되었다. HTTP/2 기반 DDoS 공격으로, 이전에 가장 강력한 공격으로 알려졌던 7 layer DDoS 공격보다 규모가 컸으며, 최대 규모로는 초당 3억 9,800만 트래픽까지 유발할 수 있는 것으로 확인되었다. HTTP/2는 기존의 HTTP/1.1과 다르게 단일 TCP 연결에서 동시에 여러 스트림을 열 수 있으며, 클라이언트 요청 당 100개에 달하는 스트림을 동시에 병렬로 처리할 수 있다.

그림 7. HTTP/1.1 vs HTTP/2 요청 및 응답 패턴

해당 CVE-2023–44487 취약점은 CVSS 점수가 7.5(10점 만점)으로 심각도가 높은 취약점으로 지정되었다.

그림 8. CVE-2023–44487

이와 같이 DDoS 공격은 해가 지날수록 새로운 유형이 생겨나고, 확인되는 공격 빈도 수도 늘어나고 있다. 본 보고서에서는 2023년부터 2024년에 이르기까지 텔레그램에서 활동하는 해킹 그룹들의 DDoS 공격 툴, 공격 이유, 공격 유형 등과 같은 내용을 소개하고, 마지막으로 대응 방안을 제안하고자 한다.

2. DDoS 공격 이유

DDoS 공격을 하는 이유는 다양하다. 이념에 따른 공격일 수도 있고, 단순히 핵티비스트적인 행위를 표현하기 위한 수단으로 삼는 경우도 있다. 텔레그램에서 활동하는 그룹 중 DDoS 공격 이력이 확인된 경우로 한정하여, DDoS 공격을 진행한 이유에 대해 분석하였다.

2.1. 이념의 충돌

DDoS 공격의 이유 중 가장 큰 비중을 차지하는 부분은 “이념의 충돌”이다. 텔레그램에서 활동하는 해킹 그룹 중 “NIGERIA CYBER FORCE”, “Team insane Pk Official”과 같이 채널 명에서 조직원들의 국적을 엿볼 수 있는 경우가 확인되기도 한다. 이러한 경우, 국제적인 정세에 영향을 받을 수 밖에 없는 구조로 판단되는데, 예를 들어 텔레그램 해킹 그룹인 NIGERIA CYBER FORCE가 “Op_India”를 언급하며 인도네시아 사이트 다수에 대한 DDoS 공격을 진행한 사례가 있다. “op”는 operation의 약자로, 특정 주제나 목적을 위해 조직된 그룹 또는 관련 운동을 뜻한다. 즉, “Op_India”는 인도와 관련된 주제에 대한 온라인 운동을 진행하며 사용된 메시지로 이해할 수 있으며, 당시 DDoS 공격의 타겟 사이트가 인도였던 것으로 보아 NIGERIA CYBER FORCE 측은 인도라는 국가에 반감을 가지고 있는 것으로 추정할 수 있다.

그림 9. NIGERIA CYBER FORCE 텔레그램 DDoS 공격 인증 메세지

또 다른 대표적인 예로 “Mysterious Team Bangladesh”가 있으며, 팀의 이름을 통해 조직원들의 국적이 Bangladesh 국가와 연관이 있음을 추정할 수 있다. 또한 텔레그램에 “We hope that, all Muslim hactivists, activists will join us on this time as every year(매년 이맘때쯤이면 모든 무슬림 핵티비스트, 활동가들이 함께하길 바란다)”는 메시지를 작성한 것으로 보아, 해당 그룹은 무슬림 종교에 우호적인 반응을 보이고 있다는 사실을 확인할 수 있다[그림 10]. Mysterious Team Bangladesh 역시 과거 “OpIndia” 문구를 자신들이 운영하는 공식 텔레그램 채널 메세지에 명시함과 함께 인도 정부 기관 사이트에 DDoS 공격을 한 바 있다[그림 10].

그림 10. Mysterious Team Bangladesh 텔레그램 메세지

Killnet의 경우 친러시아 성향을 가지고 있으며, 이념의 충돌에 따라 핵티비스트적인 성격으로 DDoS 공격을 진행하고 있다. 2022년부터 Killnet은 지속적으로 NATO에 대한 불신이 담긴 메세지를 드러냈고, 2023년에 들어서는 NATO 회원국을 대상으로 하는 DDoS 공격 캠페인을 펼치기 시작했다. 이 외에도 우크라이나를 지원하는 영국, 독일 등 유럽권 나라에 대한 DDoS 공격을 진행하였다.

그림 11. NATO에 대한 반감을 드러낸 Killnet 텔레그램 메세지

• (2023–10–27)그림 12에 따르면 “오늘 우리는 체코로 가보겠습니다”라는 메세지와 함께 체코를 대상으로 DDoS 공격을 수행할 것을 예고하였고, 실제 해당 날짜에 24건의 사이트에 대한 DDoS 공격을 진행하였다.

그림 12. Killnet 텔레그램 메세지, “오늘 우리는 체코로 가보겠습니다”

• (2023–10–28) Killnet은 “체코는 아직 끝나지 않았으니 오늘 다시 한번 방문해보겠습니다.”의 메세지를 남기며 20건의 사이트에 대한 DDoS 공격을 추가 진행하였다.

그림 13. Killnet 텔레그램 메세지, “체코는 아직 끝나지 않았으니 오늘 다시 한번 방문해보겠습니다”

• (2023–10–29) Killnet은 폴란드로 타겟을 변경하였다. 우크라이나-러시아 전쟁으로인해 친우크라이나 및 NATO 국가인 폴란드로 타겟을 변경한 것으로 추정된다.

그림 14. Killnet 텔레그램 메세지, “그리고 다시 폴란드”

2.2. DaaS 서비스, DDoS 도구 판매

텔레그램에는 DDoS 서비스를 판매하는 그룹들이 다수 존재하는데, 판매하고자 하는 DDoS 서비스의 성능을 홍보하기 위해 DDoS 공격을 진행하는 경우가 있다. 이 경우 두가지 유형으로 분류할 수 있으며, 1)DaaS 서비스 판매와 2)DDoS 도구 판매로 나눌 수 있다.

DaaS 서비스 판매의 경우, 고객으로부터 일정 금액을 받고 진행한 DDoS 공격 인증 스크린샷을 업로드 하여 자체 DaaS 서비스의 신뢰도를 높이기도 한다. 그림 15의 경우, OKX[.]com 도메인을 대상으로 진행한 DDoS 공격 인증 스크린샷와 함께 “People often ask us if we can kill CF (Cloudflare) protection CDN.(우리는 CF(Cloudflare)를 사용하는 사이트도 공격이 가능하다)”는 문구를 업로드하였다. 스크린샷에는 OKX[.]com 사이트가 다운되어 접속할 수 없는 화면과 함께 해당 사이트가 Cloudflare 서비스를 사용중인 것을 확인할 수 있었다. 즉, 공격자는 Cloudflare 서비스를 사용하는 사이트에 DDoS 공격이 성공하였고, 이를 근거로 제시하며 더 많은 고객을 유치하기 위한 자체 홍보 메세지를 작성하였음을 확인할 수 있다.

그림 15. CryptoStresser.com 텔레그램 메세지

DDoS 공격 도구를 판매하는 그룹의 경우 역시 동일하다. 자체 도구를 사용하여 DDoS 공격을 성공한 인증에 대한 스크린샷을 첨부한 뒤, 어떤 Method를 사용하였는지, Proxy 비율은 어떻게 되는지 등과 같은 내용을 기재하며 자신들의 도구를 홍보하고 있다[그림 16].

그림 16. LkxStress 텔레그램 채널 메세지

2.3. Attention Seeking

Attention Seeking의 주된 목표는 많은 사람들의 관심을 받고 메시지를 전달하는 것이다. 예를 들어, 텔레그램에서 최근 활동을 시작한 LAPSUS$ 그룹의 경우, 과거에 활동하던 LAPSUS$ 라고 주장하고 있으나, LAPSUS$ 그룹과의 직접적인 연관성은 아직 확인되지 않았다. 단순히 기존 LAPSUS$ 그룹과 이름이 같은 것으로 확인되며, 해당 그룹은 최근 북한의 내나라 사이트(naenara[.]com[.]kp)를 대상으로 DDoS 공격을 수행한 바 있다. 그러나 그들이 왜 북한의 사이트를 대상으로 DDoS 공격을 진행했는지에 대한 이유는 찾아볼 수 없으며, 유저들의 이목을 끌기 위해 북한 사이트를 대상으로 DDoS 공격을 진행한 것으로 추정된다.

그림 17. 텔레그램 LAPSUS$ 채널 메세지

텔레그램에서 활동하는 그룹인 SERVER KILLERS 역시, 2024년 4월 9일, 북한의 고려항공(airkoryo[.]com[.]kp)을 대상으로 DDoS 공격을 진행하였다. “North Korea where is security :)” 문구와 함께 북한 사이트의 사이버 보안에 대한 내용을 언급했으나, 친러시아적인 성향을 가진 SERVER KILLERS 그룹이 당시 왜 북한 사이트에 공격을 진행했는지에 대한 이유는 확인되지 않았다.

그림 18. 텔레그램 SERVER KILLERS 채널 메세지

3. DDoS 공격 그룹

3.1. Anonymous Sudan

텔레그램에서 활동하는 해킹 그룹 중, DDoS 공격을 병행하는 그룹이 다수 존재한다. 이들은 DaaS 혹은 DDoS 프로그램 판매가 아닌, 오로지 자체적인 DDoS 공격을 감행한다. 대표적인 DDoS 공격 해킹 그룹으로는 Anonymous Sudan이 있는데, Anonymous Sudan은 텔레그램 채널을 2023년 9월 9일부터 운영중인 것으로 확인된다.

그림 19. 텔레그램 Anonymous Sudan 채널

그림 20. Anonymous Sudan DDoS 공격 메세지

DDoS 공격에 성공할 시, 기존에는 접속 불가한 타겟 사이트 화면과 함께 공격이 성공했음을 인증하는 것이 일반적이었으나, 최근에는 해당 사이트가 속해있는 BGP의 연결성(Connectivity)를 체크하여 공격 성공을 인증하기 시작하였다.

그림 21은 2024년 2월 17일, Anonymous Sudan이 “미국이 어린이를 대상으로 하는 이스라엘의 전쟁에 자금을 지원하고 있으며, UN 휴전에 대한 거부권 행사를 포함하여 전 세계에서 벌어지는 다양한 형태의 대량 학살에 자금을 지원하고 있다”는 메세지와 함께 미국의 Cedars-Sinai 병원 시스템에 DDoS 공격을 진행한 후 BGP 연결성 그래프를 사용하여 공격 성공 인증 메세지를 업로드 한 내용이다.

그림 21. Anonymous Sudan Cedars-Sinai health Systems DDoS 공격 인증 메세지

그림 22는 당시 함께 첨부된 BGP 연결성 그래프이며, 100%였던 Active Probing이 DDoS 공격이 시작되자 0%로 떨어진 것을 확인할 수 있다.

그림 22. Anonymous Sudan DDoS 공격 인증 사진

그림 23은 2024년 2월 21일 Anonymous Sudan이 말레이시아의 통신 회사인 Hot Telecommunication을 타겟으로 DDoS 공격을 진행한 당시의 메세지이며, 본 공격 성공 인증 메세지 역시 BGP 연결성 그래프를 첨부하여 공격의 성공 여부를 인증한 것으로 해석된다.

첨부된 이미지는 각각 AS21450, AS12849에 해당하는 BGP 연결성 그래프로, 두 AS(Autonomous System) 모두 평소에는 70% ~ 100% 사이의 안정권이었으나, DDoS 공격이 시작되고 나서 0%로 수치가 급격하게 떨어지는 것을 확인할 수 있다.

그림 23. Anonymous Sudan HOT Mobile DDoS 공격 인증 메세지

그림 24. Anonymous Sudan DDoS 공격 인증 사진

Anonymous Sudan은 주로 DDoS 공격에 집중하는 경향이 있으나, 단순히 DDoS 공격만 진행하는 것은 아니다. 2023년 11월 9일, Anonymous Sudan은 텔레그램 채널에 “Siegedsec과 연합하여 이스라엘 통신 회사인 Cellcom의 고객 정보 데이터베이스 약 180,000건을 탈취했다.”는 메세지를 업로드 하였다.

SiegedSec은 2022년을 시작으로 미국과 인도 정부 기관, 브라질의 맥주 제조 기업 등 여러 국가의 기업과 기관을 대상으로 내부 정보와 소스 코드를 탈취하는 해킹 그룹으로, DDoS 공격을 주로 하는 Anonymous Sudan 과 협력을 한 것은 이례적인 상황으로 해석할 수 있다. 당시 업로드 한 메세지에 따르면, 공격 이유가 “Free Palestine”으로 명시되어 있어 두 그룹이 추구하는 이념이 동일한 것이 연합의 계기임을 유추할 수 있다.

그림 25. SiegedSec과 Anonymous Sudan이 협력한 사례

3.2. NoName057(16)

DDoS 공격을 주력으로 하는 또 다른 해킹 그룹은 Noname057(16)이 있다. Noname057(16)은 텔레그램 공식 채널인 “NoName057(16)”을 운영하고 있으며, 해당 채널은 2022년 3월 12일에 생성되었다. 채널 첫 공식 메세지에 따르면 그들은 친러시아 성향을 가지고 있으며, 우크라이나-러시아 전쟁 당시 우크라이나에 사이버 공격을 하기 위해 활동을 시작한 것으로 확인된다.

NoName057(16)은 공격 초반, 메시지에 “неонацистского”(네오나치) 단어를 꾸준히 언급하였는데, 네오나치는 우크라이나-러시아 전쟁 당시 푸틴 대통령이 전쟁 명분으로 내세운 “우크라이나가 나치 세력에 점령당했고, 네오 나치 정권에서 사람들을 구한다”와 일맥상통한 것으로 분석할 수 있다. 텔레그램 메시지에 따르면, “Zelensky의 네오나치 정권과 대항한다”는 의미의 메시지를 다수 확인할 수 있다.

그림 26. Zelensky의 네오 나치 정권에 대항하는 문구가 포함된 텔레그램 메세지

특히, 우크라이나의 선전 사이트를 대상으로 하는 공격이 다수 관찰되었다. 이는 NoName057(16) 그룹이 우크라이나-러시아 전쟁을 기점으로 친러시아적 성향과 함께 파생된 해킹 그룹이기 때문에, 전쟁과 직접적으로 관련 있는 사이트들을 대상으로 DDoS 공격을 했다는 점을 유추할 수 있다.

그림 27. NoName057(016) DDoS 공격 인증 메세지

NoName057(16)은 총 4개의 텔레그램 채널과 1개의 이모티콘을 운영하고 있다. 자세한 내용은 표2 과 같다

표 2. NoName057(016)이 운영중인 텔레그램 채널과 이모티콘

DDoS 공격 성공 인증의 경우, 일반적으로 https://check-host[.]net 사이트를 이용하고 있다[그림 28]. check-host[.]com 사이트는 웹사이트, 서버, 호스트, ip 주소에 대한 가용성을 확인하는 도구로, 약 40여개의 서로 다른 나라의 ip 주소에서 타겟 호스트로 접속을 시도해 해당 서버의 가용성을 확인할 수 있다. 이러한 특징을 이용해 공격자들은 DDoS 공격 이후, 타겟 호스트로의 접속이 원활한지 체크한 뒤, 해당 내역을 DDoS 공격 성공 인증하는 용도로 사용하고 있다.

그림 28. Noname057(016)이 DDoS 공격 인증 메세지에서 사용되는 check-host 서비스

4. DDoS 공격 도구

본 장에서는 2023년에서 최근까지 텔레그램에서 활동하는 해킹 그룹이 사용하는 것으로 확인된 DDoS 공격 도구 중 일부를 소개한다.

4.1. DDoSia

DDoSia는 러시아 친핵티비스트 그룹인 NoName057(16)이 개발한 DDoS 공격 도구이다. DDoSia 프로젝트로 명명하고 있으며, 텔레그램 봇을 통해 DDoS 공격 도구를 받을 수 있다. NoName057(16)측에서 제공하는 DDoSia 사용 설명서인 “Instructions for participants of the DDoSia Project”에 따르면 해당 도구를 설치한 클라이언트의 컴퓨터는 자발적으로 DDoSia 프로젝트의 일원이 되며, NoName057(16)이 선정한 러시아 연방에 비우호적인 국가에 영향을 준다는 내용이 명시되어 있다. 즉, 본 도구를 사용하게되면 의도하지 않았음에도 불구하고 NoName057(16) 해킹그룹의 DDoS 공격 및 이념에 동참하는 셈이다.

그림 29. NoName057(16)에서 운영하는 DDoSia 텔레그램 봇

특이한 점으로는, 본 도구를 사용해 DDoS 공격을 수행한 참가자들의 랭킹을 볼 수 있다는 것이다. 또한 NoName057(16) 측이 선정한 계급과 업적이 부여되며, 경우의 따라서는 보상을 지급하기도 한다.

NoName057(16)은 “dCoin”을 사용하는데, 1dCoin은 1루블과 같다고 설명하며 참가자들의 순위가 높아지고 더 많은 DDoS 공격을 할수록 더 많은 dCoin이 적립되는 시스템이다. DDoSia_Bot 상에서 팀을 이룰 수도 있다. “Join the team” 메뉴를 통해 특정 팀에 가입할 수 있으며, “Create a team” 메뉴를 사용하여 팀을 만들 수도 있다.

LINK11에 따르면, DDoSia는 초기에는 Python으로 작성되었으나, 효율성이 부족하여 Go 언어로 변경되었다고 한다.

4.2. CYBERBOOTER.SU

DDoS 공격에 사용되는 도구 중, Stresser의 이름으로 배포되는 도구가 있다. CYBERBOOTER.SU역시 Stresser의 한 종류인데, Stresser는 네트워크, 혹은 서버의 리소스가 추가 로드를 처리하기에 적절한지 테스트 하기 위한 도구이며 합법적으로 사용되고 있다. 일반적으로는 자체 네트워크의 과부하 테스트를 위해 사용되지만, 공격자는 이 Stresser의 기능을 악용하여 DDoS 도구 중 하나로 이용하고 있다.

그림 30. CYBERBOOTER.SU 텔레그램 채널

가입하는 데 특별한 정보는 필요 없었으며, 아이디와 패스워드만 있으면 누구나 가입이 가능했다. 7 layer 단에서의 공격은 200회 제한 내에서 무료였으며, 멀티 프로세싱은 불가능했다. 공격 테스트 진행 결과, 약 1초당 1회의 공격이 가능했기 때문에 무료 플랜으로는 유의미한 공격 효과는 힘들 것으로 추정된다.

그림 31. CYBERBOOTER.SU 로그인 화면

CYBERBOOTER.SU 도구에서 제공하는 기능은 표 3과 같다. Advanced Options를 통해 7 layer 공격에서는 Get 방식과 POST 방식 중 선택할 수 있고, Re-connection, Attack Origin, Ratelimit과 같은 항목을 추가로 설정할 수 있다. 4 layer 공격에서는 Advanced Options를 통해 Packet Per Seconds 의 양을 사용자가 설정할 수 있다. (기본 500.0000 pps)

표 3. CYBERBOOTER.SU 제공 기능

4.3. DDOS-V4

2024년 1월 1일, 한국 은행에 DDoS 공격이 가해진 정황이 확인되었다. 피해 사이트는 한국 은행의 영문 페이지(http://www.bok[.]or.kr/eng/main/main.do)로, 공격자가 공개한 정보에 따르면 약 2분여간 공격이 지속되어 사이트의 접속이 마비된 것으로 추정된다. 공격자는 텔레그램에서 활동하는 그룹인 EXECUTOR DDOS로, 당시 한국은행을 대상으로 한 DDoS 공격에 사용된 도구와 공격 성공 인증 메시지를 업로드 했다[그림 32].

그림 32. EXECUTOR DDOS 채널에 업로드 된 한국은행 DDoS 공격 메세지

해당 공격에 사용된 것으로 확인된 도구는 DDOS-V4로, DarkNet403 유저가 개발하여 Github에 소스코드를 공개해두었다. DDoS 공격, 악성코드 유포, 브루트 포싱 등 다양한 공격을 할 수 있는 도구로 확인되나, 현재는 업데이트 되어 DDoS 기능과 관련된 코드는 확인할 수가 없었다(2024–03–14 기준). 당시 확인된 공격 이미지인 그림 33에 따르면, 해당 도구는 타겟, 공격 시간, 포트, 공격 방식 등을 설정할 수 있었던 것으로 확인된다.

그림 33. DarkNet403 유저의 Github

5. 텔레그램 DDoS 서비스 홍보 채널

랜섬웨어를 서비스화 하는 RaaS 처럼, DDoS 역시 DaaS(DDoS as a Service)가 존재한다. DaaS는 DDoS를 서비스화 하는 경우를 의미하며, 고객이 DaaS 를 제공하는 업체에 일정 금액의 돈과 타겟을 제공하면 해당 업체는 DDoS 공격을 대신 해주는 서비스이다. DaaS는 크게 두가지로 나뉘는데, 기업의 네트워크 혹은 서비스의 리소스에 대한 과부하를 테스트 하기 위한 합법적인 Stresser 테스트와 실제 DDoS 공격이 이에 해당한다. 본 장에서는 DaaS 중, Stresser 유형과 DDoS 공격 유형을 나누어 설명한다.

5.1. Stresser

2023년부터 2024년까지 활발한 활동을 이어온 텔레그램 Stresser 서비스 채널 30개를 대상으로 통계 분석을 진행했다. 해당 채널들은 평균적으로 1,483명의 구독자를 보유하고 있었으며, 많게는 8,132명의 구독자를 보유한 채널도 확인되었다.

그림 34. Stresser 서비스 채널 구독자 수 그래프

특히, 구독자의 수가 많은 채널은 구독자의 수가 적은 채널에 비해 채널 상에서 보다 적극적인 홍보 메세지 업로드와 지속적으로 서비스 기능을 업데이트하는 특성이 있었다.

그림 35. Stresser 홍보글 예시

30개의 텔레그램 채널에서 확인된 공식 Stresser 서비스의 웹 사이트는 가입 방법, 제공 서비스, 가격 등의 측면에서 상호 유사한 특징을 가지고 있었다. 이 중 가장 큰 특징으로는 가입을 할 때 많은 정보를 요구하지 않는다는 점이다.

Stresser 서비스를 이용하고자 하는 유저는 아이디, 패스워드, 이메일과 같은 기본 정보 이외의 부가적인 개인 정보를 요구하지 않아 가입 접근성이 매우 뛰어난 것으로 확인된다. 그림 36는 각각의 사이트가 가입 시 요구하는 정보에 대한 통계를 낸 결과로, 전체에서 53%에 해당하는 16개의 사이트가 아이디와 패스워드 만을 요구하는 것으로 확인된다.

그림 36. Stresser 서비스 별 가입 필요 정보 그래프

심지어는 로그인 과정 없이, 컴퓨터와 사람을 구분하기 위한 캡챠(Captcha)만 풀면 무료로 DDoS 공격의 타겟이 되는 URL을 입력하여 즉시 DDoS 서비스 이용이 가능한 사이트도 확인되었다.

그림 37. 로그인이 필요하지 않은 Stresser 서비스

Stresser 서비스 제공 웹 사이트에서는 DDoS 서비스 범위에 따라 다양한 가격 정책을 펼치고 있었다. 사이트 별 가격 정책은 최소 2개에서 많게는 17개까지 제공 중이었으며, 지속 시간 및 공격량 등의 변수에 따라 가격의 차이가 있다.

그림 38. Stresser 가격 표 예시

가장 저렴한 Plan의 1달 구독 기준 평균 가격은 65.4$로 확인되었으며, 전체 가격 분포 그래프는 그림 39와 같다. 선정한 30개의 사이트 중, 무료(Free Trial)로 DDoS 서비스를 제공하는 사이트는 약 26%인 8개가 있었으며, 금액을 지불하지 않고도 DDoS 공격이 가능한 상태로 확인되어 서비스 사용에 대한 진입 장벽이 낮다는 것을 확인할 수 있었다.

그림 39. Stresser 가격 분포 그래프

(2024년 2월 27일, 6:30 AM UTC+0 기준 Google Finance에서 제공한 달러, 유로 환산 가격(1 Euro = 1.08 USD)을 통해 달러로 통일함.)

전체의 90%에 해당하는 27개의 사이트에서 확인한 가격 정책의 경우 모두 월별 구독형 패키지를 제공하고 있다. 이를 통해 Stresser 서비스 운영자들은 월별 구독 정책을 펼치며 지속적인 수입원을 마련하는 것으로 추정할 수 있다. 또한 공식 DDoS 서비스 웹 사이트와 텔레그램을 병행하여 운영하고 있으며, 텔레그램은 주로 공식 사이트에서의 고객 문의를 위한 연장선으로 활용된다.

월 구독 비용이 상승할수록 DDoS 공격 기법이나 기능 자체는 큰 차이가 없으나, 동시에 공격(concurrent attacks) 가능한 대상이 많아지는 특징을 가지고 있다. 월 최대 19,440 달러의 구독 라이센스가 존재하는 Nig*****의 경우 동시에 수백 개의 타겟을 공격할 수 있는 서비스를 제공한다.

5.2. DDoS 서비스

텔레그램에서 활동하는 DDoS 공격 서비스의 경우 DDoS 서비스를 판매하고, 금액을 지불 시 DDoS 공격을 하고싶은 대상 사이트 URL만 입력하면 DDoS 대리로 수행하는 서비스를 제공한다.

그림 40. DDoS 서비스 판매 홍보글

3개의 DDoS 서비스 텔레그램 채널을 확인한 결과, 해당 운영자들은 DDoS 공격 성공을 입증하여 고객과 신뢰를 높이기 위해 다음의 증거 자료를 제공한다. DDoS 공격 성공을 보여주는 증거로 check-host[.]net 링크를 통해 공격한 사이트의 네트워크 상태를 확인하는 링크와, 텔레그램 게시글 업로드 시점에 사이트 접속이 불가능한 것을 보여주는 DDoS 공격 증거 스크린샷을 게시한다.

그림 41. DDoS 성공 증빙 예시

위 3개의 DDoS 서비스 텔레그램 채널 중 DDoS 서비스는 C2, Botnet 등 차등적으로 가격을 지불하는 경우도 있으며, 통합 DDoS 서비스를 제공해 인도네시아 화폐 IDR 2,000,000 (3월 19일 기준 127.22 $) 지불 시 1일 동안 특정 사이트를 대리 공격해주는 경우도 확인할 수 있다.

Stresser 서비스의 경우 평균 1달 구독 가격이 65.4$였던것에 비해, 1일 DDoS 서비스를 대리로 수행하는 가격이 IDR 2,000,000 (127.22 $)인 점을 보아, DDoS 서비스를 전체적으로 대신해줄 경우 상대적으로 더 많은 비용이 필요하다.

그림 42. DDoS 서비스 가격표

더 나아가, 자체적인 DDoS 서비스를 구축할 수 있도록 공개적으로 Github 에 DDoS 서비스를 수행할 수 있는 텔레그램 봇을 만드는 방법을 작성한 Python 코드를 공유하는 사례들이 확인되었다. DDoS 서비스를 수행할 수 있는 코드를 제공하는 Github Repository 하단에서 해당 자료는 교육적인 목적으로 공유한다고 작성되어있으나, 사용자가 의도한 바에 따라 악용될 가능성이 있어 주의가 필요하다.

그림 43. Github DDOS Botnet Sample

6. Conclusion

• 최근 텔레그램에서 활동하는 해킹 그룹 중, DDoS 공격을 하는 사례가 증가하고 있음.
  — DDoS 공격을 중점적으로 수행하는 그룹들에 대해 모니터링을 수행하고, 국제적인 정세 혹은 해당 그룹의 활동 현황등을 파악하며 전반적인 DDoS 공격의 흐름을 모니터링 할 필요가 있음.
• DDoS 공격 그룹의 텔레그램 채널에서 홍보하는 공식 DDoS 서비스 사이트에서 DDoS 서비스를 활용하기 위해 가입이 필요했으나, 가입시 필요한 정보들이 유저가 설정하는 ID, PW 인 경우가 과반수 이상으로 개인정보 노출의 위험도가 낮아 서비스 이용이 용이함.
• 사이트별 다양한 DDoS 서비스 가격 정책을 펼치고 있었으며, 유료 DDoS 서비스와 함께 무료로 서비스를 이용할 수 있었던 경우도 확인됨. 심지어 별도 가격 정책 없이 서비스 전체를 무료로 제공하는 사이트도 확인되어 DDoS 공격에 대한 진입장벽이 낮은 것으로 확인됨.
• DDoS 공격을 탐지하고 피해를 완화하기 위해서는 일반 트래픽과 공격 트래픽을 식별하고 구분하는 작업이 필수적임.
  — DDoS 공격자로 의심되는 IP의 지속적인 접속, 특정 국가에서 다량 발생하는 트래픽 또는 부적절하게 사용되는 특정 프로토콜 트래픽 분석하여 공격 패턴을 이해하고 대응해야 함.
  — 웹사이트 네트워크 트래픽 모니터링하고 DDoS 공격을 실시간으로 탐지하고 대응하여 공격 패턴을 식별하고 효과적인 대응방안을 마련해야함.
  — check-host[.]net 사이트를 모니터링하여 공격 식별 및 성공 여부를 확인하는데 참고할 수 있음.
• 공격 트래픽에 대한 대응방안은 다음과 같음.
  — 정상 트래픽만 서버로 전달할 수 있도록 방화벽과 라우터 네트워크 장치 구성하고 라우터의 DDoS 보호 설정 및 필터를 활용하여 트래픽 필터링을 수행해야 함.
  — 웹 애플리케이션 방화벽(WAF)을 통해 악성 HTTP 트래픽을 선제적으로 차단하거나 원본 서버로 전달되는 가짜 트래픽 양을 완화하여 DDoS 시도의 영향을 크게 줄여야 함.
  — 중복 네트워크 아키텍쳐를 설정하여 서버 및 기타 주요 리소스를 분산해야 하여 단일 지점에 집중된 공격을 완화해야 함.
  — Captcha 와 같은 인증 절차를 통해 봇을 차단하고 정상적인 사용자를 판별하는 프로세스를 추가하여 공격을 완화할 수 있음.
  — 단, 정상 사용자의 접속 경험을 보장하기 위해 Captcha 적용 대상과 빈도를 적절히 조절해야할 필요가 있음.

참고자료

• https://www.tek-tools.com/apm/detect-ddos-attack-with-log-analysis
• Taxonomy of DDoS Attack Mechanisms (출처 : Mirkovic, J., & Reiher, P. (2004, April). A taxonomy of DDoS attack and DDoS defense mechanisms. Computer Communication Review. https://doi.org/10.1145/997150.997156)
• https://www.akamai.com/blog/security/akamai-prevents-the-largest-ddos-attack-on-a-us-financial-company
• https://www.bleepingcomputer.com/news/security/openai-confirms-ddos-attacks-behind-ongoing-chatgpt-outages/
• https://www.bleepingcomputer.com/news/microsoft/outlookcom-hit-by-outages-as-hacktivists-claim-ddos-attacks/
• https://www.exoprise.com/2023/06/06/microsoft-outlook-web-june-6th-mo572252/
• https://blockworks.co/news/manta-network-harmed-by-ddos-attack-during-token-issuance
• https://www.kisa.or.kr/20205/form?postSeq=1025
• https://www.telit.com/blog/4g-vs-5g-new-technology-will-change-everything/
• https://www.comparitech.com/blog/information-security/ddos-statistics-facts/
• https://www.infosecurity-magazine.com/news/bot-warning-retailers-busy/
• https://www.imperva.com/resources/resource-library/reports/the-state-of-security-for-ecommerce-2022/
• https://media.licdn.com/dms/document/media/D4D1FAQHzTxE1pdUxZQ/feedshare-document-pdf-analyzed/0/1711318673451?e=1713398400&v=beta&t=eKeWtt_Iw5kgTT9U1LwFtcMAQz6P5DPyDWAeulGfLq8
• https://cloud.google.com/blog/products/identity-security/how-it-works-the-novel-http2-rapid-reset-ddos-attack
• https://blog.cloudflare.com/zero-day-rapid-reset-http2-record-breaking-ddos-attack
• https://cloud.google.com/blog/products/identity-security/google-cloud-mitigated-largest-ddos-attack-peaking-above-398-million-rps
• https://nvd.nist.gov/vuln/detail/CVE-2023-44487
• https://learn.g2.com/how-to-stop-a-ddos-attack
• https://www.red-button.net/blog/how-to-know-when-a-ddos-attack-is-on-its-way/
• https://www.cloudflare.com/learning/ddos/application-layer-ddos-attack/

Homepage: https://s2w.inc
Facebook: https://www.facebook.com/S2WLAB
Twitter: https://twitter.com/S2W_Official