러시아 군에 의해 수천 대의 소비자 라우터가 해킹당했다

Source: Ars Technica

개요

러시아 군이 다시 한 번 가정용 및 소규모 사무실 라우터를 해킹하는 대규모 작전을 벌이고 있으며, 이 작전은 무심코 방문하는 사용자를 비밀번호와 자격 증명 토큰을 수집하는 사이트로 유도해 스파이 활동에 활용하고 있다고 연구진이 화요일에 밝혔습니다.

Lumen Technologies의 Black Lotus Labs 연구원들은 MikroTik와 TP‑Link 제조의 소비자 라우터 약 18,000~40,000대가 120개국에 걸쳐 APT28(러시아 군사 정보기관 GRU 소속 고급 위협 그룹)의 인프라에 연결되었다고 전했습니다. 이 위협 그룹은 최소 20년 이상 활동해 왔으며 전 세계 정부를 대상으로 한 수십 건의 고프로파일 해킹에 관여했습니다. APT28은 Pawn Storm, Sofacy Group, Sednit, Tsar Team, Forest Blizzard, STRONTIUM 등 다양한 이름으로도 추적됩니다.

기술적 정교함, 검증된 기법

소수의 라우터가 프록시 역할을 하여 외교부, 법 집행 기관, 정부 기관 등 APT28이 감시하려는 다수의 다른 라우터에 연결되었습니다. 이후 이 그룹은 라우터 제어권을 이용해 선택된 웹사이트의 DNS 조회를 변경했으며, 여기에는 Microsoft가 언급한 자사의 365 서비스 도메인도 포함되었습니다.

“대형 언어 모델(LLM) ‘LAMEHUG’과 같은 최첨단 도구를 검증된 오래된 기법과 결합하는 것으로 알려진 Forest Blizzard는 방어자를 앞서기 위해 전술을 지속적으로 진화시킵니다.”라고 Black Lotus 연구원들은 적었습니다. “그들의 과거와 현재 캠페인은 기술적 정교함과 공개된 이후에도 고전적인 공격 방식을 재사용하려는 의지를 동시에 보여주며, 전 세계 조직에 대한 이 행위자의 지속적인 위험을 강조합니다.”

라우터를 장악하기 위해 공격자는 알려진 보안 취약점에 대한 패치를 적용하지 않은 구형 모델을 악용했습니다. 이후 선택된 도메인의 DNS 설정을 변경하고 동적 호스트 구성 프로토콜을 이용해 라우터에 연결된 워크스테이션에 전파했습니다. 연결된 장치가 해당 도메인을 방문하면, 의도된 목적지에 도달하기 전에 악성 서버를 통해 프록시된 연결이 이루어졌습니다.