러시아 정부 해커가 수천 대의 홈 라우터를 침입해 비밀번호를 탈취

Source: TechCrunch

Overview

러시아 정부 해커 그룹이 전 세계 수천 대의 가정 및 소규모 비즈니스 라우터를 탈취해, 피해자의 인터넷 트래픽을 리다이렉트하고 비밀번호와 액세스 토큰을 탈취하려는 지속적인 캠페인을 진행하고 있다고 보안 연구원과 정부 당국이 화요일에 경고했습니다.

이번 작전은 러시아 정보기관 GRU 소속으로 널리 추정되는 장기 해킹 그룹 Fancy Bear (APT 28)와 연관된 것으로 알려졌습니다. Fancy Bear는 이전에 2016년 민주당 전국위원회(DNC) 해킹과 2022년 위성 제공업체 Viasat에 대한 파괴적 공격(TechCrunch 보고서) 등 고프로파일 해킹 사건과 연결되었습니다.

Targets and Methodology

해커들은 MicroTik와 TP‑Link가 제조한 패치되지 않은 라우터를 표적으로 삼아, 영국 정부 사이버보안 부서인 NCSC가 식별한 이전에 공개된 취약점(출처)과 Lumen의 연구 부서인 Black Lotus Labs가 제시한 취약점(출처)을 악용했습니다.

구형 펌웨어를 실행 중인 라우터를 장악함으로써 공격자는 DNS 설정을 변경해 피해자의 인터넷 요청이 해커가 제어하는 인프라를 통해 은밀히 라우팅되도록 만들었습니다. 이를 통해 DNS 하이재킹과 **중간자 공격(Man‑in‑the‑Middle)**이 가능해졌으며, 사용자를 위조된 웹사이트로 리다이렉트해 비밀번호와 인증 토큰을 수집하고 2단계 인증을 우회할 수 있었습니다.

Impact

Black Lotus Labs는 Fancy Bear가 약 120개국에 걸쳐 18,000명 이상의 피해자를 침해했으며, 여기에는 정부 부처, 법 집행 기관, 그리고 북아프리카, 중앙아메리카, 동남아시아 전역의 이메일 제공업체가 포함된다고 보고했습니다.

캠페인 세부 정보를 공개한 마이크로소프트 보안팀은 200개 이상의 조직과 5,000대 이상의 소비자 기기가 영향을 받았으며, 여기에는 아프리카의 최소 세 개 정부 조직도 포함된다고 밝혔습니다(Microsoft 블로그 게시물).

Responses

• 영국 NCSC는 이번 작전을 “대상자를 넓게 포착한 뒤, 공격이 진행됨에 따라 정보적 가치가 있는 목표에 집중하는, 기회주의적 성격이 강한”이라고 설명했습니다.
• Lumen은 FBI를 포함한 연합이 봇넷을 차단하고 오프라인으로 전환시켰다고 밝혔습니다. FBI는 캠페인에 사용된 여러 도메인의 폐쇄를 발표할 예정이며, 발표 전에는 대변인이 논평 요청에 응답하지 않았습니다.