포스팅 내용

국내외 보안동향

FBI, 50만대 이상의 라우터를 감염 시킨 대규모 봇넷의 통제권 압수해

FBI seizes control of a massive botnet that infected over 500,000 routers


Cisco가 전 세계 50만대 이상의 라우터 및 네트워크 스토리지 장치들을 감염 시킨 대규모 해킹 캠페인에 대한 보고서를 공개한 후 얼마 지나지 않아, 미 정부가 공격에 사용 된 주요 인터넷 도메인을 중지 시켰다고 발표했습니다.


Cisco Talos의 연구원들이 VPNFilter라 명명한 이 악성코드는 가정이나 소규모 사무실(SOHO)의 Linksys, MikroTik, NETGEAR, TP-Link 라우터, 스토리지 기기들, 그리고 NAS 기기들을 노리는 다단계 모듈 형태의 플랫폼 입니다.


피츠버그에서 공개 된 법원 문서에는 FBI가 감염 된 수십만대의 SOHO 라우터 및 NAS 기기들로 이루어진 봇넷과 통신하는 주요 웹 도메인들을 점유한 것으로 나타났습니다.


법원의 문서에 따르면, 이 대규모 악성코드 캠페인의 배후에 있는 해킹 그룹은 러시아 정부와 연결 된 해킹 그룹 인 Fancy Bear였습니다. 이 그룹은 APT28, Sofacy, X-agent, Sednit, Sandworm 및 Pawn Storm으로도 알려져 있습니다.


FBI는 VPNFilter의 C&C 인프라의 일부였던 도메인을 압수함으로써 악성 코드의 1단계 리디렉트 시도를 FBI가 제어하는 서버로 설정해 감염 된 기기들의 IP 주소를 수집하고, 악성 코드를 제거할 수 있도록 전 세계 당국에 이를 전달할 것입니다.


VPNFilter에 감염 된 SOHO 및 NAS 기기를 사용하고 있다면, 즉시 기기를 재부팅 해야 합니다. 이로써 비 지속성인 2단계 악성코드를 제거하고, 감염 된 기기에서 남아있는 지속성 1단계 악성코드가 명령을 요청할 수 있게 됩니다.


미 법무부는 “기기들이 인터넷에 연결 되어 있는 동안 2단계 악성코드에 재감염 될 수 있지만, 이러한 노력으로 인해 공격자들이 그들의 C&C 인프라의 취약점을 알아내기 전에 전 세계적으로 이루어진 감염을 확인 및 치료할 수 있는 기회를 극대화 할 수 있을 것입니다.”고 밝혔습니다.


VPNFilter는 피해자를 감염시키기 위해 어떠한 제로데이도 악용하지 않고, 알려진 취약점에 노출 되었거나 디폴트 크리덴셜을 사용하는 기기만을 찾기 때문에 사용자들은 디폴트 크리덴셜을 변경할 것을 강력히 추천합니다.


또한 라우터를 항상 방화벽 뒤에 위치시키고, 필요하지 않을 경우 원격 관리 기능을 끄는 것이 좋습니다.

라우터가 기본적으로 취약하고 업데이트할 수 없을 경우, 새로운 라우터를 구입하는 것이 좋습니다.





참고 : 

https://thehackernews.com/2018/05/vpnfilter-botnet-malware.html



티스토리 방명록 작성
name password homepage