1. Home
  2. 카테고리
  3. 뉴스
  4. 하드웨어 뉴스
  5. 사이버 보안 센터 경고: 러시아 국가 해커, Outlook 자격 증명 탈취 위해 TP-Link 및 MicroTik 라우터 해킹 — APT28 그룹, DNS를 겨냥해 트래픽을 공격자 통제 서버로 우회시키다
  • hw_reporterH hw_reporter

    사이버 보안 센터 경고: 러시아 국가 해커, Outlook 자격 증명 탈취 위해 TP-Link 및 MicroTik 라우터 해킹 — APT28 그룹, DNS를 겨냥해 트래픽을 공격자 통제 서버로 우회시키다

    hw_reporterH hw_reporter

    트래픽이 공격자가 통제하는 서버를 통해 우회되고 있습니다.

    article image

    업데이트 - 동부 표준시(ET) 4월 8일 목요일 정오: TP-Link는 Tom's Hardware에 다음과 같은 성명을 발표했습니다: "TP-Link는 네트워크 장치에 대한 사이버 공격 위협을 매우 심각하게 받아들이고 있습니다. 보고서에서 언급된 TP-Link 장치들은 수년 전에 서비스 종료 및 수명 종료(End of Service and Life, EOSL) 상태가 되었으며, 영향을 받은 전체 모델 목록은 여기(https://www.tp-link.com/uk/support/faq/5058/)에서 확인할 수 있습니다. 비록 이러한 제품들이 당사의 표준 유지 관리 수명 주기 밖에 있지만, TP-Link는 기술적으로 구현이 가능한 일부 레거시 모델에 대해 보안 업데이트를 개발해 왔습니다. 이러한 업데이트를 적용하려면 보안 권고에 명시된 조치를 따를 것을 권장합니다. 또한, 레거시 또는 EOSL 장치를 사용하는 고객들은 정기적인 보안 업데이트를 받을 수 있는 현재 지원되는 하드웨어로 업그레이드하는 것을 적극 권장합니다. 즉각적인 예방 조치로는 최신 사용 가능 펌웨어로 업데이트하고, 원격 관리 기능을 비활성화하며, 강력하고 고유한 관리자 암호를 사용하고, 장치 접근을 신뢰할 수 있는 내부 네트워크로만 제한해야 합니다."

    국가사이버보안센터(NCSC)는 화요일 권고문을 통해 러시아 국영 해킹 그룹 APT28이 2024년부터 취약한 소규모 사무실 및 가정용(SOHO) 라우터를 악용하고 있다는 경고를 발표했습니다. 이들은 라우터의 DHCP 및 DNS 설정을 덮어쓰고, 다운스트림 트래픽을 공격자가 통제하는 DNS 서버로 리디렉션하여 웹 및 이메일 서비스의 비밀번호와 인증 토큰을 수집하고 있습니다. NCSC는 APT28의 주체가 러시아 주요정보국(GRU)의 제85 특수 전문 서비스센터, 군사 정보 부대 26165일 '거의 확실하다'고 평가했습니다.

    해당 권고문에 따르면, 이 행위자는 가상의 사설 서버를 구성하여 악성 DNS 리졸버 역할을 하도록 만든 뒤, 라우터의 DHCP DNS 설정을 재작성하여 취약한 SOHO 라우터들이 해당 서버를 가리키게 했습니다. 이 네트워크에 연결된 노트북, 휴대폰 및 기타 다운스트림 장치들은 이 설정을 자동으로 상속받아 공격자가 통제하는 인프라로 조회 요청을 보내기 시작합니다.

    로그인 페이지와 같이 표적화된 서비스와 관련된 도메인 조회 요청은 공격자-중간자(adversary-in-the-middle) 인프라를 호스팅하는 추가 공격자 소유 IP 주소로 연결됩니다. 반면, 대상화 기준을 벗어난 요청은 연결이 끊어지지 않도록 정상적인 주소로 해결됩니다.

    • 연구자들, 여러 액세스 포인트에 영향을 미치는 대규모 Wi-Fi 취약점 발견
    • 미국 사이버보안 기관, 이란 해커의 핵심 인프라 공격에 대한 경고
    • 전문가 분석: 사물인터넷(IoT) 장치 보안 문제 심화

    최종적으로, 기술적인 위험을 최소화하기 위해 자산 식별 및 접근 제어 정책에 대한 전사적 검토가 필수적입니다.

    article image

    [분석 전문]

    이 공격의 구조는 고전적인 네트워크 가로채기(Man-in-the-Middle) 공격을 기반으로 합니다. 공격자들은 기만적인 DNS 응답을 사용하여 사설망의 통신 경로 자체를 재지정합니다. 이로 인해 사용자가 접속하려는 합법적인 서버 대신, 통신 내용이 기록되고 가로채기되는 가짜 서버에 연결됩니다.

    주요 위험 요인:

    1. DNS 스푸핑: 라우터 설정의 기본 취약성을 악용하여 트래픽의 목적지를 원격으로 조작합니다.
    2. 프로토콜 남용: HTTP/S 트래픽이 암호화되어 있음에도 불구하고, DNS 레벨에서의 조작을 통해 트래픽의 경로를 조작할 수 있습니다.
    3. 장비 의존성: 해당 공격은 사물인터넷(IoT) 장치처럼 네트워크 보안 패치가 어렵고, 고정된 네트워크 인프라에 의존하는 장비에서 특히 취약합니다.

    완화 방안:

    네트워크 장비(라우터, 게이트웨이 등)에 대한 펌웨어 업데이트를 최우선적으로 수행하고, 모든 네트워크 트래픽에 대해 DNS 레벨의 무결성 검사를 강화해야 합니다. 또한, 중요 자산에 대한 접근은 다단계 인증(MFA)을 의무화하여, 설령 데이터가 가로채이더라도 사용자가 인증 절차를 우회할 수 없도록 방어벽을 구축해야 합니다.

    [출처:] https://www.tomshardware.com/tech-industry/cyber-security/ncsc-says-russian-gru-hackers-are-hijacking-tp-link-and-mikrotik-routers

    0
로그인 후 답글 작성