[데이터넷] 손상된 유비퀴티 엣지 라우터를 이용해 공격을 진행해 온 러시아 공격 그룹 ‘APT28’의 공격 네트워크가 우리나라를 포함한 국제 공조로 차단됐다. 미국 연방수사국(FBI), 국가안보국(NSA), 미국 사이버 사령부가 주도한 이 작전에 우리나라와 영국, 독일, 프랑스, 벨기에, 브라질 등이 참여했으며, 침해된 엣지 라우터로 구성된 봇넷을 차단하는데 성공했다.

FBI 성명에 따르면 러시아 총참모부 중앙정보국(GRU) 산하 APT28은 팬시베어, 포레스트 블리자드(스트론튬) 등으로도 불리며, 전 세계에서 손상된 엣지 라우터를 사용해 자격증명을 수집해 공격을 진행했다.

이들은 2022년 초부터 엣지 라우터를 이용해 전 세계 정부, 군대, 항공우주와 방위산업 등을 대상으로 사이버 첩보 활동을 전개했다. 이들은 OpenSSH 트로이 목마를 이용해 손상된 하드웨어에 액세스했으며, 자격증명, 프록시 네트워크 트래픽을 수집하고, 스푸핑된 랜딩 페이지와 맞춤형 사후 익스플로잇 툴을 호스팅했다. 트로이 목마화된 OpenSSH 서버 프로세스는 IoT 디바이스를 감염시키는 미라이 기반 봇넷인 무봇(Moobot)과 연결돼 있다.

지난해 초 이들이 수행한 공격의 예를 설명하면, 표적이 된 웹메일 사용자의 계정 자격 증명을 수집하기 위해 사용자 정의 파이썬 스크립트를 작성한 후, 손상된 유비쿼티 라우터의 하위 집합에 업로드해 크로스 사이트 스크립트와 브라우저 내 스피어 피싱 캠페인을 통해 수집한 웹메일 계정 인증 정보를 검증했다.

2022에는 당시에 알려지지 않았던 마이크로소프트 아웃룻 취약점(CVE-2023-23397)을 악용해 표적 계정에서 NTLMv2 다이제스트를 수집했다. 이 취약점은 윈도우 기반 아웃룩 권한 취약성을 상승시키는 것이며, Net-NTLMv2 해시가 행위자가 제어하는 인프라로 유출된다. 마이크로소프트가 2023년 이 취약점을 인지한 후 패치를 발표했는데, 그 후에도 패치되지 않은 아웃룩 인프라를 이용해 지속적으로 공격을 진행한 것으로 드러났다.

한편 이 성명에서는 APT28 공격에 의한 피해를 막기 위해 위비퀴티 엣지라우터 사용자는 하드웨어 공장 초기화를 진행하고, 최신 펌웨어 업그레이드와 사용자 이름·비밀번호 변경, 그리고 WAN 인터페이스에 방화벽 규칙을 설정해야 한다고 밝혔다.

김선애 기자 다른기사 보기