2016.12.12

공유기 봇넷, 러시아 은행에 DDoS 공격…이번에도 TR-069 취약점 악용

Lucian Constantin | IDG News Service
해킹한 가정용 공유기로 구성된 봇넷이 러시아의 5대 금융기관을 공격한 DDoS 공격에 사용된 것으로 나타났다.

지난 12월 5일 월요일 발생한 이번 공격은 러시아 국영 통신사인 로스텔레콤이 탐지해 완화했다. 로스텔레콤은 금요일 이번 공격의 규모가 최대 3.2Mpps(packets per second)로, 최장 2시간까지 지속됐다고 밝혔다.

로스텔레콤은 공격으로 인한 대역폭 측정치는 공개하지 않았지만, 3.2Mpps는 그리 큰 규모의 공격은 아니다. DDoS 완화 서비스 업체들은 100Mpps가 넘는 공격을 드물지 않게 발견하며, 지난 9월 보안 전문가 브라이언 크렙스의 웹 사이트에 가해진 공격은 최고 665Gbps, 143Mpps였다.

러시아 은행 5곳을 공격한 이번 공격은 TCP SYN 플러드 기법을 사용했으며, 해킹된 가정용 공유기에서 시작된 것으로 알려졌다. 이들 공유기의 공통된 약점은 TR-069라고 알려진 CW/MP(CPE WAN Management Protocol)을 사용했다는 것. 이 프로토콜은 ISP가 자사 고객의 가정에 설치된 공유기를 원격으로 관리하는 데 사용한다.

TR-069의 취약점은 최근 여러 나라에서 발견됐는데, 독일 도이치 텔레콤, 아일랜드 에어, 영국 톡톡 등이다. 공격자는 이 프로토콜의 취약점을 이용해 악성코드로 수천 대의 공유기를 감염시켰는데, 이들 중 다수가 이번 러시아 은행을 공격한 DDoS 공격에 사용된 것으로 보인다.

일주일 전에는 러시아 연방보안국이 외국 정보기관이 러시아 금융시스템을 교란하려는 목적으로 계획한 대규모 사이버 공격을 저지했다고 밝히기도 했다.

러시아 연방보안국에 따르면 이 공격은 12월 5일 실행될 계획이었으며, 러시아 금융 시스템의 위기에 대한 가짜 정보를 소셜 미디어와 문자 메시지로 퍼뜨리는 계획도 포함되어 있다. 러시아 연방보안국이 파악한 공격에 DDoS도 포함되어 있었는지, 로스텔레콤이 방어한 DDoS 공격이 이 공격의 일부였는지 여부는 확실하지 않다.

금융기관에 대한 DDoS 공격은 심심치 않게 발생하는 일이다. 지난 2012년에는 심각한 DDoS 공격으로 미국의 여러 은행 온라인 서비스가 중단된 적이 있으며, 2015년 7월에는 영국의 은행 세 곳이 비슷한 공격을 받았다. 미 FBI에 따르면, 금융기관들은 은행 서비스를 파괴하겠다는 해커의 협박 메일을 주기적으로 받고 있다.  editor@itworld.co.kr


2016.12.12

공유기 봇넷, 러시아 은행에 DDoS 공격…이번에도 TR-069 취약점 악용

Lucian Constantin | IDG News Service
해킹한 가정용 공유기로 구성된 봇넷이 러시아의 5대 금융기관을 공격한 DDoS 공격에 사용된 것으로 나타났다.

지난 12월 5일 월요일 발생한 이번 공격은 러시아 국영 통신사인 로스텔레콤이 탐지해 완화했다. 로스텔레콤은 금요일 이번 공격의 규모가 최대 3.2Mpps(packets per second)로, 최장 2시간까지 지속됐다고 밝혔다.

로스텔레콤은 공격으로 인한 대역폭 측정치는 공개하지 않았지만, 3.2Mpps는 그리 큰 규모의 공격은 아니다. DDoS 완화 서비스 업체들은 100Mpps가 넘는 공격을 드물지 않게 발견하며, 지난 9월 보안 전문가 브라이언 크렙스의 웹 사이트에 가해진 공격은 최고 665Gbps, 143Mpps였다.

러시아 은행 5곳을 공격한 이번 공격은 TCP SYN 플러드 기법을 사용했으며, 해킹된 가정용 공유기에서 시작된 것으로 알려졌다. 이들 공유기의 공통된 약점은 TR-069라고 알려진 CW/MP(CPE WAN Management Protocol)을 사용했다는 것. 이 프로토콜은 ISP가 자사 고객의 가정에 설치된 공유기를 원격으로 관리하는 데 사용한다.

TR-069의 취약점은 최근 여러 나라에서 발견됐는데, 독일 도이치 텔레콤, 아일랜드 에어, 영국 톡톡 등이다. 공격자는 이 프로토콜의 취약점을 이용해 악성코드로 수천 대의 공유기를 감염시켰는데, 이들 중 다수가 이번 러시아 은행을 공격한 DDoS 공격에 사용된 것으로 보인다.

일주일 전에는 러시아 연방보안국이 외국 정보기관이 러시아 금융시스템을 교란하려는 목적으로 계획한 대규모 사이버 공격을 저지했다고 밝히기도 했다.

러시아 연방보안국에 따르면 이 공격은 12월 5일 실행될 계획이었으며, 러시아 금융 시스템의 위기에 대한 가짜 정보를 소셜 미디어와 문자 메시지로 퍼뜨리는 계획도 포함되어 있다. 러시아 연방보안국이 파악한 공격에 DDoS도 포함되어 있었는지, 로스텔레콤이 방어한 DDoS 공격이 이 공격의 일부였는지 여부는 확실하지 않다.

금융기관에 대한 DDoS 공격은 심심치 않게 발생하는 일이다. 지난 2012년에는 심각한 DDoS 공격으로 미국의 여러 은행 온라인 서비스가 중단된 적이 있으며, 2015년 7월에는 영국의 은행 세 곳이 비슷한 공격을 받았다. 미 FBI에 따르면, 금융기관들은 은행 서비스를 파괴하겠다는 해커의 협박 메일을 주기적으로 받고 있다.  editor@itworld.co.kr


X