2018.04.19

"러시아가 라우터를 해킹하고 있다"…미국과 영국 경고

Ms. Smith | CSO
미국과 영국은 지나 16일 공동으로 주요 네트워크 인프라 장치를 표적으로 하는 국가의 지원을 받는 러시아 해커에 대해 이례적인 공동 경고 성명을 발표했다. 러시아 정부를 대신한 이 해커들이 전 세계 라우터의 취약점을 악용해 장악하고 있다는 것이다.

미국의 국토안보부, FBI, 영국의 NCSC(National Cyber Security Center)는 공동 성명에서 러시아의 국가의 지원을 받는 해커들이 정부와 민간 부문 조직뿐만 아니라 필수 인프라 제공업체인 ISP와 라우터, 스위치, 방화벽, 네트워크 침입 감지 시스템을 악용하고 있다고 경고했다.

기본적으로 네트워크 장비용 소프트웨어를 최신 상태로 유지하고 않고 기본 비밀번호를 변경하지 않은 온라인에 연결된 모든 사람이 잠재적인 표적이 되며, 전세계 수백만 개의 장치가 표적이 되고 있다.

이 조직들은 "민간 및 공공 부문 사이버보안 연구 조직들과 동맹국을 포함해 여러 소스에서 미국과 영국 정부에 이런 활동을 보고했다"고 밝혔다.

FBI는 "러시아의 국가 지원을 받는 해커들이 해킹된 라우터를 이용해 중간자 공격을 자행하고 지적 재산을 유출하며 피해 네트워크에 대한 지속적인 액세스를 유지하고 잠재적으로 미래의 공격 활동을 위한 기초를 닦고 있다는 강한 확신이 있다"고 말했다.

정부 기관들은 대중에게 러시아인들이 라우터를 점령할 수 있다면 트래픽도 소유할 수 있다고 상기시켰다.

뉴욕타임즈와의 인터뷰에서 FBI 사이버 부서 부국장 하워드 마샬은 "라우터를 점령하면 모든 트래픽을 점령하고 크리덴셜과 비밀번호를 수집할 수 있는 기회도 얻게 된다"면서, "적이 엄청난 무기를 손에 넣게 되는 것이다"고 전했다.

CSIC 결함 악용
4월 초, 시스코는 CSIC(Cisco Smart Install Client)의 결함에 대해 경고했다. 카스퍼스키랩은 데이터센터와 인터넷 제공업체에 대한 공격 가운데 해커들이 시스코 스위치의 결함을 악용해 임의의 코드를 실행시켰다고 밝혔다.

얼마 지나지 않아 해당 해커 그룹 "JHT"는 이란과 러시아에 있는 장치에서 CSIC의 취약점을 악용했다. 해커들은 "우리 선거에 관여하지 마라"는 메시지와 함께 미국의 국기를 남겼다. 해당 그룹은 "미국과 기타 국가에서 정부 지원을 받는 해커들의 공격이 지겨웠기 때문에 단순히 메시지를 남기고 싶었다"고 주장했다.

공동으로 발표한 기술 주의보에서 미국과 영국은 러시아의 국가의 지원을 받는 해커들이 취약한 장치 찾기, 무기화 및 악용 때문에 바빴다고 경고했다.

이 주의보는 "이 러시아 해커들은 2016년 11월부터 온라인으로 제공되는 SIET(Smart Install Exploitation Tool)를 사용했으며 명령 및 제어로 이행했다. 러시아 정부의 해커들은 레거시 프로토콜을 사용하거나 보안 활동이 부실하기 때문에 발생하는 취약점을 악용할 수 있기 때문에 제로데이 취약점을 악용하거나 네트워크 장치를 악용하기 위해 악성코드를 설치할 필요가 없다"고 경고했다.

러시아의 해커들은 이런 결함을 악용해 취약한 장치를 식별하고 장치 구성 정보를 추출하며 내부 네트워크 아키텍처에 대한 맵을 작성한다. 또한 로그인 크리덴셜을 수집하며 권한이 있는 사용자로 위장하고 장치 펌웨어뿐만 아니라 운영체제와 구성을 수정하며 피해 트래픽을 복제하거나 자신이 제어하는 인프라를 통해 유도할 수 있다. 이와 함께 라우터 트래픽을 변경하거나 거부할 수 있다.

이 주의보에는 잠재적인 완화 전략에 대한 방대한 목록이 포함되어 있었다. 미국 백악관 사이버 보안 조정관 롭 조이스는 "미국의 모든 힘을 다해 이런 류의 침입에 대처할 것이다"고 말했다. 여기에는 "물리적인 세계에서의 미국의 역량"도 포함되었다.

영국의 NCSC 책임자 시아란 마틴은 "처음으로 특정 사이버 공격이 러시아의 소행이라고 지목한 것이며, 이와 동시에 미국과 영국이 업계에 공격 위험을 관리하는 방법에 대한 공동 주의보를 발령했다"고 덧붙였다.

물론, 러시아는 이런 혐의를 부인했다. editor@itworld.co.kr  


2018.04.19

"러시아가 라우터를 해킹하고 있다"…미국과 영국 경고

Ms. Smith | CSO
미국과 영국은 지나 16일 공동으로 주요 네트워크 인프라 장치를 표적으로 하는 국가의 지원을 받는 러시아 해커에 대해 이례적인 공동 경고 성명을 발표했다. 러시아 정부를 대신한 이 해커들이 전 세계 라우터의 취약점을 악용해 장악하고 있다는 것이다.

미국의 국토안보부, FBI, 영국의 NCSC(National Cyber Security Center)는 공동 성명에서 러시아의 국가의 지원을 받는 해커들이 정부와 민간 부문 조직뿐만 아니라 필수 인프라 제공업체인 ISP와 라우터, 스위치, 방화벽, 네트워크 침입 감지 시스템을 악용하고 있다고 경고했다.

기본적으로 네트워크 장비용 소프트웨어를 최신 상태로 유지하고 않고 기본 비밀번호를 변경하지 않은 온라인에 연결된 모든 사람이 잠재적인 표적이 되며, 전세계 수백만 개의 장치가 표적이 되고 있다.

이 조직들은 "민간 및 공공 부문 사이버보안 연구 조직들과 동맹국을 포함해 여러 소스에서 미국과 영국 정부에 이런 활동을 보고했다"고 밝혔다.

FBI는 "러시아의 국가 지원을 받는 해커들이 해킹된 라우터를 이용해 중간자 공격을 자행하고 지적 재산을 유출하며 피해 네트워크에 대한 지속적인 액세스를 유지하고 잠재적으로 미래의 공격 활동을 위한 기초를 닦고 있다는 강한 확신이 있다"고 말했다.

정부 기관들은 대중에게 러시아인들이 라우터를 점령할 수 있다면 트래픽도 소유할 수 있다고 상기시켰다.

뉴욕타임즈와의 인터뷰에서 FBI 사이버 부서 부국장 하워드 마샬은 "라우터를 점령하면 모든 트래픽을 점령하고 크리덴셜과 비밀번호를 수집할 수 있는 기회도 얻게 된다"면서, "적이 엄청난 무기를 손에 넣게 되는 것이다"고 전했다.

CSIC 결함 악용
4월 초, 시스코는 CSIC(Cisco Smart Install Client)의 결함에 대해 경고했다. 카스퍼스키랩은 데이터센터와 인터넷 제공업체에 대한 공격 가운데 해커들이 시스코 스위치의 결함을 악용해 임의의 코드를 실행시켰다고 밝혔다.

얼마 지나지 않아 해당 해커 그룹 "JHT"는 이란과 러시아에 있는 장치에서 CSIC의 취약점을 악용했다. 해커들은 "우리 선거에 관여하지 마라"는 메시지와 함께 미국의 국기를 남겼다. 해당 그룹은 "미국과 기타 국가에서 정부 지원을 받는 해커들의 공격이 지겨웠기 때문에 단순히 메시지를 남기고 싶었다"고 주장했다.

공동으로 발표한 기술 주의보에서 미국과 영국은 러시아의 국가의 지원을 받는 해커들이 취약한 장치 찾기, 무기화 및 악용 때문에 바빴다고 경고했다.

이 주의보는 "이 러시아 해커들은 2016년 11월부터 온라인으로 제공되는 SIET(Smart Install Exploitation Tool)를 사용했으며 명령 및 제어로 이행했다. 러시아 정부의 해커들은 레거시 프로토콜을 사용하거나 보안 활동이 부실하기 때문에 발생하는 취약점을 악용할 수 있기 때문에 제로데이 취약점을 악용하거나 네트워크 장치를 악용하기 위해 악성코드를 설치할 필요가 없다"고 경고했다.

러시아의 해커들은 이런 결함을 악용해 취약한 장치를 식별하고 장치 구성 정보를 추출하며 내부 네트워크 아키텍처에 대한 맵을 작성한다. 또한 로그인 크리덴셜을 수집하며 권한이 있는 사용자로 위장하고 장치 펌웨어뿐만 아니라 운영체제와 구성을 수정하며 피해 트래픽을 복제하거나 자신이 제어하는 인프라를 통해 유도할 수 있다. 이와 함께 라우터 트래픽을 변경하거나 거부할 수 있다.

이 주의보에는 잠재적인 완화 전략에 대한 방대한 목록이 포함되어 있었다. 미국 백악관 사이버 보안 조정관 롭 조이스는 "미국의 모든 힘을 다해 이런 류의 침입에 대처할 것이다"고 말했다. 여기에는 "물리적인 세계에서의 미국의 역량"도 포함되었다.

영국의 NCSC 책임자 시아란 마틴은 "처음으로 특정 사이버 공격이 러시아의 소행이라고 지목한 것이며, 이와 동시에 미국과 영국이 업계에 공격 위험을 관리하는 방법에 대한 공동 주의보를 발령했다"고 덧붙였다.

물론, 러시아는 이런 혐의를 부인했다. editor@itworld.co.kr  


X