미국, 조직에 러시아 APT28 해커 그룹에 감염된 라우터 정리 촉구

미국 정부는 최근 Fancy Bear 또는 Sednit 라고도 알려진 러시아 APT28 그룹이 수행하는 사이버 간첩 캠페인에 대해 조치를 취했습니다. ' Moobot '이라는 악성 코드에 감염된 Ubiquiti 라우터로 구성된 봇넷을 해체한 후, 당국은 이제 조직과 개인에게 중단 노력을 지원하기 위해 장치를 정리할 것을 촉구하고 있습니다.

주로 소규모 사무실/홈 오피스(SOHO) 환경에서 사용되는 감염된 라우터는 기본 자격 증명을 악용하고 Moobot과 관련된 OpenSSH 서버 프로세스를 트로이 목마화한 사이버 범죄자에 의해 손상되었습니다. 그런 다음 APT28은 이러한 라우터에 대한 통제권을 획득하여 항공우주, 에너지, 정부, 제조 및 기술을 포함하여 유럽, 중동 및 미국 전역의 다양한 부문을 표적으로 삼는 비밀 작전에 이를 활용했습니다.

APT28 공격자는 라우터 내부로 들어가 자격 증명 수집, 네트워크 트래픽 프록시, 맞춤형 공격 후 도구 배포 등 다양한 전술을 활용했습니다. 또한 Outlook의 제로데이 취약점을 악용하여 대상 계정에서 자격 증명을 수집하고 추가 자격 증명 수집을 위해 Python 스크립트를 배포했습니다.

또한 APT28은 명령 및 제어 목적으로 손상된 라우터를 활용하여 MasePie라는 Python 백도어용 인프라로 사용했습니다. 이 그룹은 역방향 프록시 연결을 설정하고 SSH RSA 키를 업로드하여 역방향 SSH 터널을 설정하는 등 정교한 기술을 사용했습니다.

위협을 해결하기 위해 권고에서는 장치 공장 재설정, 펌웨어 업데이트, 기본 자격 증명 변경, 방화벽 규칙 구현을 포함한 여러 완화 조치를 권장합니다. 조직과 소비자는 제공된 IoC(침해 지표)를 활용하여 감염 징후를 감지하고 향후 유사한 손상을 방지하기 위해 필요한 조치를 취하는 것이 좋습니다.

전반적으로, 미국 정부의 조치 촉구는 APT28이 제기하는 지속적인 위협과 사이버 스파이 활동 으로부터 보호하기 위한 네트워크 인프라 보안의 중요성을 강조합니다.