포스팅 내용

국내외 보안동향

VPNFilter 악성코드 공격 주의!

5월 23일 저녁, Talos는 해커들이 정교하게 모듈화 된 "VPNFilter" 악성코드를 이용하여 전 세계에 있는 50만대의 라우터와 DB를 감염시켰다고 밝혔습니다. 


이번 공격에는 사용된 VPNFilter는 BlackEnergy 악성코드와 코드가 동일한 것으로 확인되었습니다. 


BlackEnergy 악성코드는 이미 우크라이나를 대상으로 몇번의 대규모 공격을 진행한 적이 있습니다. 


Talos의 보고서에 따르면, VPNFilter는 각 국의 명령제어 서버를 이용하여 매우 빠른 속도로 우크라이나 및 여러 국가를 감염시켰습니다. 


지금까지 최소 54개의 국가에서 약 50만대의 디바이스들이 VPNFilter에 감염된 것으로 확인되었습니다. 


감염된 디바이스들은 주로 가정이나 소규모 사무실에서 사용되는 Linksys, Mikro Tik, NETGEAR, TP-Link 라우터 및 QNAP NAS 입니다. 


아직까지 다른 제조사의 디바이스들은 감염되지 않은 것으로 밝혀졌습니다. 


VPNFilter 악성코드를 이용하여, 공격자들은 인증서를 탈취할 수 있으며, Modbus SCADA 프로토콜을 모니터링 , 감염 디바이스를 무력화, 네트워크를 마비 시켜 감염된 몇십만대의 디바이스들의 인터넷 연결을 중단시킬수 도 있습니다. 


이번 공격의 목표 디바이스들은 대부분 네트워크 경계에 위치한 디바이스들이였기 때문에 IPS 장비나 백신 프로그램등으로 공격을 탐지하거나 차단할 수 없었습니다. 


현재까지 이 악성코드가 어떤 취약점을 이용하여 공격하였는지 밝혀내지는 못했지만, 감염된 디바이스들이 대부분 구형 버전이라는 것을 보았을 때 이미 공개된 취약점 혹은 공개된 인증서를 이용하여 공격하였을 것이라고 추정하고 있습니다. 



감염 디바이스 모델


LINKSYS DEVICES:


E1200

E2500

WRVS4400N


MIKROTIK ROUTEROS VERSIONS FOR CLOUD CORE ROUTERS:


1016

1036

1072


NETGEAR DEVICES:


DGN2200

R6400

R7000

R8000

WNR1000

WNR2000


QNAP DEVICES:


TS251

TS439 Pro


Other QNAP NAS devices running QTS software


TP-LINK DEVICES:


R600VPN



더 자세한 정보는 여기를 참고하시기 바랍니다. 


 

현재 알약에서는 해당 악성코드에 대하여 Trojan.Linux.VPNFilter로 탐지중에 있습니다. 





출처 : 

https://blog.talosintelligence.com/2018/05/VPNFilter.html

티스토리 방명록 작성
name password homepage