러시아 정부 해커, 수천 대의 가정용 라우터에 침입해 비밀번호를 탈취

Source: Slashdot

Overview

익명 독자는 TechCrunch의 보고서를 인용했으며, 러시아 정부 해커 그룹이 전 세계 수천 대의 가정 및 소규모 비즈니스 라우터를 탈취해 피해자의 인터넷 트래픽을 리디렉션하고 비밀번호와 액세스 토큰을 탈취하려는 지속적인 캠페인을 진행하고 있다고 화요일에 보안 연구원과 정부 당국이 경고했습니다.

Targets and Methods

해킹 그룹은 영국 정부의 사이버보안 부서 NCSC와 Lumen의 연구 부서 Black Lotus Labs가 화요일에 공개한 캠페인 세부 정보에 따르면, MikroTik와 TP‑Link에서 제조된 패치되지 않은 라우터를 이전에 공개된 취약점을 이용해 표적으로 삼았습니다.

• 공격자는 오래된 소프트웨어를 실행하는 라우터를 장악하여 소유자의 인지 없이 원격 공격을 가능하게 했습니다.
• NCSC는 이 작전을 “아마도 기회주의적인 성격이며, 행위자가 많은 잠재적 피해자에게 넓은 그물을 던진 뒤 공격이 진행됨에 따라 정보에 관심 있는 목표로 좁혀 나가는 형태”라고 설명했습니다.
• 라우터 설정을 변경함으로써 해커는 피해자의 인터넷 요청을 은밀히 공격자가 제어하는 인프라로 전달하도록 만들었습니다. 이를 통해 가짜 웹사이트로 리디렉션되어 비밀번호와 토큰이 수집되었으며, 2단계 인증을 우회할 수 있었습니다.

Impact

• Black Lotus Labs는 Fancy Bear로 확인된 그룹이 약 120개국에서 최소 18,000명의 피해자를 침해했으며, 여기에는 정부 부처, 법 집행 기관, 그리고 북아프리카, 중앙아메리카, 동남아시아 전역의 이메일 제공업체가 포함된다고 보고했습니다.
• Microsoft는 연구원들이 200개 이상의 조직과 5,000대 이상의 소비자 기기가 영향을 받았으며, 여기에는 아프리카의 최소 세 개 정부 조직이 포함된다고 밝혔습니다.

Responses

• 미국 법무부는 법원의 허가를 받아 미국 내에서 침해된 라우터를 중화했다고 발표했습니다. FBI는 “침해된 라우터에 보낼 일련의 명령을 개발”하여 증거를 수집하고, 설정을 재설정하며, 추가 침입을 방지했습니다.

All information is based on the sources cited above.