정체불명의 해킹 그룹은 2023년 미국의 한 통신사를 대상으로 대규모 사이버 공격을 감행해 60만 개 이상의 인터넷 라우터를 무력화시킨 것으로 알려졌다.
Lumen Technologies의 Black Lotus Labs가 발표한 새로운 보고서에서 보안 연구원들은 최근 몇 달 동안 발견된 신비한 공격이 2023년 10월 말에 발생했다고 주장합니다.
단일 인터넷 서비스 공급자(ISP)에 속한 600,000개 이상의 소규모 사무실/홈 오피스(SOHO) 라우터가 오프라인 상태가 되었습니다.
보고서에 따르면 이 사건은 2023년 10월 25일부터 27일까지 미국 여러 주에서 72시간 동안 발생했습니다. 이는 ISP가 발행한 세 가지 라우터 모델인 ActionTec T3200, ActionTec T3260 및 Sagemcom F5380에 영향을 미쳤습니다.
Lumen Technologies의 Black Lotus Labs 팀이 코드명 "Pumpkin Eclipse"라고 명명한 신비한 사건으로 인해 감염된 장치가 영구적으로 작동하지 않게 되었고 하드웨어 기반 교체가 필요했습니다.
이 기간 동안 모든 모뎀의 49%가 영향을 받은 ISP의 ASN(자율 시스템 번호)에서 갑자기 제거되었습니다.
Black Lotus 연구원들은 “ActionTec용 [취약성 경고 플랫폼] OpenCVE에서 이러한 모델에 영향을 미치는 익스플로잇을 검색했을 때 문제의 두 모델에 대한 목록이 없었으며 이는 위협 행위자가 취약한 자격 증명을 남용했거나 노출된 관리 인터페이스를 악용했을 가능성이 있음을 시사합니다.”라고 말했습니다. 블로그 게시물에서.
Black Lotus Labs는 영향을 받은 ISP의 이름을 밝히지 않았지만 그들이 보고한 세부 사항은 같은 시기에 중단을 겪었던 아칸소 기반 ISP 제공업체 Windstream과 일치합니다. 2023년 10월 25일부터 Windstream 구독자는 Reddit에 라우터에 "정적 빨간색 표시등"이 표시된다고 보고하기 시작했습니다.
원격 수정이 불가능했기 때문에 Windstream 고객은 인터넷 액세스를 복원하기 위해 새 장치에 대해 비활성화된 라우터를 반환하라는 요청을 받았습니다. 대략 최소 600,000개로 추정되는 라우터는 알려지지 않은 위협 행위자에 의해 오프라인 상태가 되었습니다.
이제 몇 달 후 Lumen의 분석에서는 2018년 10월 Sophos가 처음 문서화한 상용 원격 액세스 트로이 목마(RAT)인 "Chalubo"가 위 이벤트를 담당하는 주요 페이로드로 확인되었습니다. 라우터의 운영 코드 요소를 삭제하고 효과적으로 작동하지 않게 만들었습니다.
분명히 Chalubo에 내장된 기능을 통해 위협 행위자는 감염된 장치에서 Lua 스크립트 기능을 실행할 수 있었습니다. 연구원들은 다운로드한 악성코드가 라우터 펌웨어를 영구적으로 덮어쓰는 코드를 실행한 것으로 믿고 있습니다.
Lumen은 공격의 배후가 누구인지, 알려지지 않은 취약점, 취약한 자격 증명, 노출된 관리 인터페이스에 대한 액세스 등을 통해 영향을 받는 모든 고객에게 펌웨어 업데이트가 어떻게 제공되었는지에 대한 세부 정보를 제공하지 않았습니다.
연구원들에 따르면 공격의 잠재적 결과는 심각할 수 있습니다.
“우리는 악성 펌웨어 업데이트가 시스템 중단을 유발하려는 의도적인 행위였다고 확신을 갖고 평가합니다. 이러한 성격의 파괴적인 공격은 특히 이 경우에 매우 우려됩니다.
이 ISP 서비스 지역의 상당 부분은 시골 지역이나 서비스가 부족한 지역사회를 포함합니다. 주민들이 응급 서비스에 접근할 수 없는 곳, 농업 문제로 인해 수확 중 농작물의 원격 모니터링으로 인해 중요한 정보가 손실되었을 수 있는 곳, 의료 서비스 제공자가 원격 의료 또는 환자 기록을 차단한 곳”이라고 Lumen 연구원은 보고서에서 말했습니다.
Black Lotus Labs는 파괴적인 모듈을 복구할 수는 없었지만 향후 공격을 방지하기 위해 활동을 모니터링하고 있습니다.
SOHO 라우터를 관리하는 조직은 일반적인 기본 비밀번호에 의존하지 말고, SOHO 라우터를 사용하는 고객은 정기적으로 라우터를 재부팅하고 보안 업데이트 및 패치를 설치할 것을 권장합니다.
*참조한 원본 글: https://www.techworm.net/2024/06/600000-us-routers-taken-down-in-cyberattack.html
'인생그것은약속위반 > 관심' 카테고리의 다른 글
| 연구원들은 300만 달러 규모의 비트코인 지갑을 복구하기 위해 11년 된 비밀번호를 해킹했습니다. (1) | 2024.06.08 |
|---|---|
| 특정 컴퓨터에서 크롬 확장 프로그램 비활성화 방법 (0) | 2024.06.08 |
| 3억 6100만 개의 도난 계정이 유출되었습니다. 귀하의 계정이 하나인지 확인하세요: (1) | 2024.06.08 |
댓글