드리워지는 공격의 전조... VPN필터를 막아라

 드리워지는 공격의 전조... VPN필터를 막아라

스파이 행위부터 파괴 행위까지 가능한 ‘사이버 공격 땅굴’
우크라이나에 대한 대규모 공격 예상돼...축구 결승과 제헌절 위험

http://www.boannews.com/media/view.asp?idx=69724&mkind=1&kind=1

---

약 50만 대의 가정용, 사무용 라우터, 네트워크 장비로 구성된 사이버 공격 인프라가 발견되어 각 기관과 업체에서 분석 및 패치하는데 주력하고 있다고 한다.

시스코에서는 "다른 나라 사회 기반 시설을 겨냥해 정찰 및 파괴 작전을 펼칠 수 있게 해주는 고급 멀웨어 및 공격 인프라"라고 전했다.

이 대형 봇 넷의 중심에는VPN Filter라는 멀웨어가 존재한다.

스파이 행위 및 파괴 공격에도 활용이 가능한 이 필터는 우크라이나 정전 사태 때 발견된 블랙에너지 멀웨어와 일치하는 복사본도 포함되어 있다고 한다. 

VPN 필터는 어떻게 감염을 시키길래 피해정도가 엄청난 것일까?

이 필터는 3단계에 걸쳐 장비를 감염 시킨다.

첫 번째, 발들이기! 시스템에 침투하여 껏다 켜도 사라지지않는다.

두 번째, 정찰하기! 장비 내 파일과 데이터를 수집하며, 자가 파괴 기능이 탑재되어 분석 가능성을 차단한다.

  자가 파괴 기능은 장비 펌웨어에 사용할 경우 장비를 사용할 수 없으며 회사 전체가 오프라인이 될 가능성이 있다.

세 번째, 다량의 모듈이 투입된다. 

현재 VPN Filter가 만든 봇넷에는 다양한 장비가 포함되어 있다고한다.

링크시스

마이크로틱

넷기어

TP-Link 가정용 라우터

큐냅의 NAS 장비

VPN Filter는 다양한 공격을 위해 미리 뚫어놓은 땅굴과 같으며, 다량의 모듈을 사용한 것과 수많은 IoT 장비를 공격자로 만든 것은 이를 이용하여 공격자가 누구인지 알 수 없게 끔 하는 것이다.

그럼 누가 왜 이런 공격을 하는 것일까?

이 필터에는 블랙에너지와 똑같은 코드가 삽입되어 있는데 블랙에너지는 러시아가 만든 것으로 여겨지기 때문에 러시아의 소행 또는 러시아로 보이기 위해 이런 장치를 했을 것이라는 추측이다.

시스코에서 보는 VPN Filter의 첫 번째 목표는 우크라이나라고 예상한다. 

50만대의 감영 장비 중 대 다수가 우크라이나에 있으며, 최근 이 곳에 서브네트워크와 C&C서버를 설치했기 때문이라고 한다.

우크라이나에서 열리는 스포츠 행사를 노리고 사이버 공격을 감행할 계획을 가지고 있을 것이라고 설명하였으며,

우크라이나 외에 54개 국가도 피해가 발생하고 있다고 한다. 

시스코는 5월 초 이를 눈치챘다.

처음엔 포트 스캐닝 행위가 발견되었으나 몇일 뒤 대부분 우크라이나에서 VPN 필터 감염이 급속도로 진행되었다고 한다.

또한 영향을 받은 제조업체와 사이버 위협 동맹 회원사와 함께 공격에 대응하고 있으며, 공격 관련 도메인도 차단하고 있다고 한다.

이에 대응 하기위해 

위에 언급된 제조사의 장비를 가지고 있을 경우 장비를 즉시 껏다 켜야 한다.

임시 방편일 뿐이지만 2,3 단계의 공격은 막을 수 있다고 한다. 

장비 제조사에 연락을 하거나 홈페이지에 접속해 최신 업데이트를 해야한다. 

또한 인터넷 통신 업자도 이러한 문제를 먼저 파악해 고객들을 지원해야 한다고 전한다.