Sea Turtle 해킹 그룹, 피싱 페이지로 웹 방문자들 유도

Insane in the domain: Sea Turtle hackers pwn DNS orgs to dash web surfers on the rocks of phishing pages

탈로스(Cisco Talos) 연구진이 사이버 범죄 집단이 인터넷 도메인 관리 업체(Registry)를 하이잭 해 특정 웹사이트의 DNS 설정을 변경하고, 웹 방문자들을 실제로는 비밀번호 도용 피싱 페이지로 유도했다고 밝혔습니다.

국가 지원을 받는 범죄 집단이 특정 대상을 피싱하기 위해 국가 코드 수준의 최상위 도메인 관리 조직을 위협한 것은 이번이 처음입니다.

레지스트리(Registry)나 레지스트라(Registrar)를 해킹하면, 해커들은 특정 웹사이트나 서버의 DNS 기록을 변경할 수 있습니다.

그리고 사용자가 정상 사이트를 방문 할 때, 합법적인 서비스로 가장한 악성 서버로 연결하도록 만들 수 있습니다. 

그 시점에서 악성 클론은 사용자 이름, 암호 등 민감한 정보를 수집하고 실제 서비스에 피해자처럼 로그인합니다.

※ 도메인 등록기관 알기!

1. 레지스트리(Registry)

레지스트리는 등록된 도메인명의 데이터베이스를 유지 관리하는 기관으로, 같은 도메인명이 이중 등록되지 않도록 데이터베이스를 관리해야 하기 때문에 최상위 도메인(TLD, Top-level domain) 별로 레지스트리는 하나만 존재합니다. 또한 하나의 레지스트리가 복수의 최상위 도메인을 관리하기도 합니다. 레지스트리는 등록된 도메인명이 인터넷상에서 접속될 수 있도록 최상위 도메인(TLD)의 도메인 네임 서버(DNS)를 운영합니다. Ex) VeriSign

2. 레지스트라(Registrar)

레지스트라는 도메인 네임 등록 대행업체로, 도메인 네임의 등록 신청을 접수하여 해당 데이터를 레지스트리의 데이터베이스에 등록합니다. 레지스트라는 레지스트리와의 계약 하에 여러 개 존재하며, 도메인 등록•관리 비용은 레지스트라에 따라 상이 합니다. 레지스트라로 지정되기 위해서는 국제 인터넷 주소 관리 기구(ICANN)에 의한 심사에 합격해야 합니다.

시스코 탈로스(Cisco Talos)가 Sea Turtle 사이버 범죄 그룹이 어떻게 DNS 엔트리를 조작했는지 발표했습니다.

Sea Turtle 그룹은 중동과 북아프리카 13개국에 걸쳐 40개의 특정 대상 기업과 정부 기관으로부터 사용자 크리덴셜을 수집해 범죄에 악용했습니다.

이들은 2017년 1월경부터 악성코드를 탑재한 스피어피싱 메일을 개설하도록 직원들을 속이고 2019년 1분기까지 레지스트리와 레지스트라 내의 컴퓨터 시스템을 멀웨어에 감염시켰습니다.

일반적으로 레지스트리는 .com이나 .org와 같은 최상위 도메인 TLD(Top-level domain)을 관리합니다.

따라서 도메인 관리 기구에 대한 사이버 공격은 매우 심각한 일입니다. 

미국 국토안보부는 유사한 하이잭 공격을 예방하기 위해 범죄에 악용된 DNS 기록을 차단하라고 경고했습니다.

탈로스는 범죄 그룹이 도메인 관리 기관에 침입하기 위해 여러 가지 취약점을 악용했다고 전했습니다. 

<이미지 출처: https://blog.talosintelligence.com/2019/04/seaturtle.html>

그중 하나는 Cisco IOS 및 IOS XE 라우터용 클러스터 관리 프로토콜입니다.

공격자는 원격 코드 실행(RCE) 취약점(CVE-2017-3881)을 이용하여 텔넷 연결을 통한 원격 테이크 오버를 가능하게 만들 수 있습니다.

탈로스 측은 이번 사건이 주로 중동과 북아프리카의 국가의 안보 조직을 겨냥한 것으로 보이며, 글로벌 DNS 시스템을 보다 폭넓게 공격하게 될 것이라고 우려했습니다.

DNS는 인터넷을 지원하는 기본 기술로 그 시스템을 조작하는 것은 인터넷 사용자들의 신뢰를 손상시킬 가능성이 높습니다.

또한 탈로스 측은 Sea Turtle가 타깃 회사와 정부 기관의 DNS 엔트리를 짧은 기간 동안 조작했으며, 매우 집중적인 첩보 활동을 했다고 전했습니다.

Sea Turtle는 DNS 관리 기관과 기업의 임직원들을 속이기 위해 코모도(Comodo) HTTPS 인증서를 사용하여 악의적인 크리덴셜 피싱 페이지를 합법적으로 보이게 만들었습니다.

공격자는 일단 로그인 세부정보를 입수해 타깃 네트워크에 진입하면, 침투한 조직의 SSL 인증서를 탈취하고 염탐할 회사나 정부 부서로 가는 VPN 커넥션을 중간자 공격(MITM) 하는 데 이용했습니다.

해커들은 Cisco Adaptive Security Appliance(ASA) 제품으로 가장한 악성 서버를 이용해 타깃들을 염탐할 수 있었습니다.

DNS 시스템에 대한 공격은 이미 잘 알려진 공격 방식입니다.

10여 년 전에 이미 연구자들은 검색 시스템을 훼손시킬 수 있는 다양한 방법들에 대해 경고했습니다.

스웨덴에 본부를 둔 Sea Turtle 레지스트리들 중 하나인 NetNod는 사우디 아라비아 .sa 도메인을 합법적인 기업 또는 정부 로그인 포털로 가장한 악성 도메인으로 바꾸는데 사용했음을 인정했습니다.

탈로스는 사이트나 서버 DNS 레코드 변경 설정은 도메인 소유자의 명시적인 권한이 필요하도록 관리자에게 DNS 잠금 서비스를 이용할 것을 권고하고 있습니다. 

또한 최신 상태로 보안 업데이트, 다단계 인증 사용, 네트워크 암호 재설정 등의 보안 예방 및 대응 수칙을 따를 것을 조언했습니다.

출처:

https://www.theregister.co.uk/2019/04/17/sea_turtle_dns/

https://blog.talosintelligence.com/2019/04/seaturtle.html