1. 공격자가 d2vaidpni345rp.cloudfront.net CDN을 해킹해서
블루 아카이브의 서버를
https://nxm-ios-bagl.nexon.com:5100/api/
에서
https://45.94.31.77:5100/
으로 바꿔치기함 (네덜란드 서버)
위 복제된 블루 아카이브 복제 서버는 계정 SDK를 제외한 모든 정보를 처리함.
2. 최초 제보는 9시 7분 45초, 위 네덜란드 서버는 한국에서 핑이 1000ms가 넘기 때문에 무조건 말이 나올 수 밖에 없는 상황인데 렉 관련 얘기도 없었고 저게 첫 글이였음
+ 9시 6분 50초에 MITM 공격으로 인한 이상증세 제보됨
그나마 보인 렉 얘기하는 첫 글도 9시 30분부터 시작이라 계속 은밀하게 데이터를 수집한 게 아니라 공격 시작 시간은 오후 9시로 추정됨.
3. 점검 시간은 오후 10시 26분
4. 이 CDN이 담당하는 클라이언트는
* 구글플레이 15/19세
* 갤럭시스토어 19세
* iOS 19세
로 추정됨.
그래서 최종적으로 정리하자면
1. CDN 서버 하나가 털려서 오후 9시~오후 10시 26분까지 블루 아카이브의 모든 플레이 정보(패킷)가 네덜란드에 있는 공격자의 서버에 전송됨
2. 블루 아카이브 패킷은 이미 복호화가 가능해서 전체 패킷을 중간에 MITM 공격으로 저장하고 있었을 거임.
전체 패킷을 공격자가 가지고 있긴 하지만 넥슨이 인증 토큰을 초기화하면 문제는 없을 것으로 보임.
3. 하필 서버가 네덜란드라 MITM 해도 렉이 무조건 티나서 공격 자체는 저 코유키 카페에 뜨자마자 바로 됐던 거로 추측됨.
솔직히 깡서버를 http 쓴 거랑 그 패킷을 다 복호화 했음에도 한 게 코유키 도배라 진지하게 한 건 아닌 거 같음.
그래서 그 시간에 결제한 거 아니면 그렇게 큰 걱정은 안 해도 될 거 같음.
그니까 게임사 하나 날릴 수있는 공격권을 단순히 21시 생일빵 때리는데 쓴거라고?
이게 개무섭네
다른 CDN 사용하고 있었음
실제로 엔드포인트가 없더라
아... 전부 이해했어!
ㄹㅇ코유키네
직접적인 게임 서버 변조가 들어갔다면 원스랑 스팀은 멀쩡했다는 게 이상하긴 해
진짜 그 둘은 다른 cdn을 이용하고 있던건가
아... 전부 이해했어!
그니까 게임사 하나 날릴 수있는 공격권을 단순히 21시 생일빵 때리는데 쓴거라고?
이게 개무섭네
맞아!
바쿠만 현실판인가.
ㄹㅇ코유키네
직접적인 게임 서버 변조가 들어갔다면 원스랑 스팀은 멀쩡했다는 게 이상하긴 해
진짜 그 둘은 다른 cdn을 이용하고 있던건가
다른 CDN 사용하고 있었음
실제로 엔드포인트가 없더라
우리는 용하모토에게 돌 달라고 하면 된다는 거지
뭐지 햇는데 보안사고 아주 크게터진거엿구나 ㄷㄷ
warning 사이트랑 작동법이 같은건가. 그거도 패킷 가로채서 보내는거같던데
네트워크 루트 하나를 통째로 하이재킹했는데도 “코유키”해버리기 전까지 눈치 못챈게 레전드긴 하네
쩐지 내 테스트용 가챠가 좉망이더니만
네덜란드 소행이었구나 제길
밤에 자고 있는 동안 누군가가 들어와서 '서프라이즈' 라고 적힌 편지를 두고간 상황
마음만 먹으면 칼을 들고 들어올수도 있었던...
가챠 조작도 가능했을 것 같은데 그 정도로 규모를 키우진 않았구만