제퍼넷 로고

생성 데이터 인텔리전스

사이버 보안

러시아 Fancy Bear APT, 미국, EU 정부 기관 해킹에 패치되지 않은 Cisco 라우터 악용

플라톤에 의해 재발행
플라톤에 의해 재발행

시간

조회 수 : 84

2021년까지 악명 높은 러시아 APT28은 오래된 버전의 Cisco IOS 및 IOS XE 운영 체제 소프트웨어를 실행하는 네트워크 라우터를 악용하여 유럽 및 미국 정부 기관의 네트워크에 백도어를 배포하는 데 사용했습니다.

APT28(일명 Fancy Bear, Strontium, Tsar Team, Sofacy Group)은 우크라이나에 대한 캠페인2016년 미국 대선. 영국 국립 사이버 보안 센터(NCSC)는 이 그룹을 러시아 참모본부 주요 정보국(GRU)의 일부인 군사 정보부 85의 26165 특별 서비스 센터에 귀속시켰습니다.

이번 주 NCSC, 국가안보국, 사이버보안 및 인프라 보안국(CISA), FBI 공동고문 발표 APT28의 기술적으로 덜 인상적이지만 더 경제적인 책략 중 하나를 설명합니다. 조사 결과에 따르면 이 그룹은 패치되지 않은 Cisco 라우터를 사용하여 "약 250명의 우크라이나 피해자" 외에도 "소수"의 EU 및 미국 정부 기관에 액세스했습니다.

XNUMX년 전 캠페인을 진행했지만, 블로그 게시물의 Cisco Talos 국가 행위자에 의한 "네트워크 인프라에 대한 고도로 정교한 공격 비율의 증가"가 얼마나 "깊은 우려"인지를 표현했습니다.

Cisco Talos의 국가 보안 책임자인 JJ Cummings는 “지난 몇 년 동안, 심지어 지난 12개월에서 XNUMX개월 동안에도 이러한 유형의 인프라를 표적으로 삼는 것이 확실히 증가했습니다.”라고 말합니다. "아마도 이것은 빙산의 일각에 불과하다고 생각합니다."

취약한 라우터 활용

6월 29, 2017에서 Cisco는 일련의 취약점을 공개했습니다. SNMP(Simple Network Management Protocol)에서 IOS 버전 12.0~12.4 및 15.0~15.6 및 IOS XE 2.2~3.17을 실행하는 네트워크 장치용 통신 프로토콜입니다.

이 회사는 특별히 제작된 SNMP 패킷을 통해 공격자가 영향을 받는 장치에서 원격으로 코드를 실행하거나 장치를 재부팅할 수 있다고 설명했습니다. 취약점은 다음과 같이 그룹화되었습니다. CVE-2017-6742 8.8의 "높은" CVSS 점수를 할당했습니다.

SNMP 취약점에 대한 패치가 수년 전에 출시되었지만 2021년까지 APT28은 여전히 ​​Cisco 라우터를 악용하여 미국, EU 및 주로 우크라이나 정부 네트워크에 액세스했습니다.

관리자가 SNMP를 사용하여 네트워크 장치를 원격으로 모니터링하고 구성하는 것과 같은 방식으로 APT28은 이를 사용하여 원격으로 장치에 액세스하고 네트워크에 침투했습니다.

권고는 "많은 소프트웨어 도구가 SNMP를 사용하여 전체 네트워크를 스캔할 수 있습니다. 즉, 기본 또는 추측하기 쉬운 커뮤니티 문자열을 사용하는 것과 같은 잘못된 구성으로 인해 네트워크가 공격에 취약해질 수 있습니다."라고 설명했습니다.

특히, APT28은 라우터를 크래킹하고 경우에 따라 해당 암호를 배포하기 위해 기본 공개 문자열과 같은 취약한 암호(Cisco 용어로 "커뮤니티 문자열")를 이용했습니다. "재규어 이빨" 악성코드. Jaguar Tooth는 CVE-2017-6742를 악용하여 장치 정보를 훔치고 지속적인 액세스를 위해 백도어를 설치하도록 특별히 설계되었습니다.

수천 대의 라우터가 온라인에 노출됨

놀라운 수의 엔터프라이즈 인터넷 라우터 현재 운영 중인 데이터는 개방형 인터넷에 공개적으로 노출되어 있습니다. 노출될 뿐만 아니라 취약합니다. 규모의 경우 다음을 고려하십시오.

일련의 취약점이 발견된 후 여러 Cisco Small Business 라우터 올해 초 소프트웨어 회사인 Censys는 온라인에서 잠재적으로 취약한 장치를 검색했습니다. 검색 결과 20,000개가 넘는 결과가 반환되었으며 그 중 대부분은 다음과 같습니다. 오늘날에도 여전히 똑같이 노출되어 있습니다..

그리고 소프트웨어 회사가 이러한 장치를 식별할 수 있는 것처럼 해커도 식별할 수 있습니다.” 일반적으로 사이버 범죄자는 Shodan 또는 Nmap과 같은 도구를 사용하여 인터넷에 연결된 노출된 장치를 스캔하고 찾습니다.”라고 KnowBe4의 보안 인식 지지자 James McQuiggan은 설명합니다. "조직은 오래된 레거시 시스템을 실행하는 것이 발각되지 않기를 바라면서 '불명확한 보안' 모델을 시도할 수 있습니다."라고 그는 말합니다. 그러나 이러한 장치를 찾아 쉽게 악용할 수 있는 해커는 "전자 정문을 열었습니다."

Cisco는 다음과 같은 IT 인프라에 대한 새로운 취약성과 위험에 대한 정보를 정기적으로 게시합니다. 이 블로그 게시물은 18월 XNUMX일에 게시되었습니다.

라우터가 패치되지 않은 이유

Cummings는 IT 환경에서 라우팅 장치가 한 번에 몇 년 동안 패치되지 않은 상태로 유지되는 한 가지 주된 이유가 있다고 관찰했습니다. "네트워크 운영 팀의 주요 임무가 무엇인지 생각해 보십시오. 네트워크를 계속 가동하고 실행하는 것입니다. 맞습니까?" 신뢰성과 가용성에 대한 이러한 우선 순위의 부산물은 "장치가 고장나지 않았다면 수리하지 않을 것"이라고 그는 말합니다.

또한 업데이트는 일시적이긴 하지만 운영 비용이 발생할 수 있습니다. “업그레이드 프로세스가 반드시 어렵거나 어려운 것은 아니지만 네트워크 가용성에 대한 위험이 항상 없는 것은 아니라는 것을 몇 가지 사례에서 확인했습니다.” 가용성이 주요 목표인 경우 "가용성에 영향을 미치지 않도록 인센티브가 제공된다면 방해가 되는 것은 무엇이든 회피할 것입니다."

IOS 및 IOS XE 업데이트는 CVE-2017-6742를 해결하는 데 필요하지만 업데이트가 까다로운 경우 IT 관리자가 유사한 인프라 침해에 대비하여 강화할 수 있는 다른 간단한 변경 사항이 있습니다. McQuiggan은 "업데이트가 불가능할 경우 타사 관리 보안 서비스에 의한 것이라 하더라도 네트워크 모니터링을 통해 침입 및 외부 네트워킹 장비에 대한 무단 로그인 가능성을 경고할 수 있습니다."라고 말합니다.

Cisco는 블로그 게시물에서 인프라를 신뢰할 수 있는 사용자로 제한해야 할 필요성을 무엇보다 강조했습니다. "네트워크 장치에 대한 무단 직접 통신을 방지하도록 설계된 인프라 액세스 제어 목록(ACL)은 네트워크에서 구현할 수 있는 가장 중요한 보안 제어 중 하나입니다."라고 그들은 썼습니다. "신뢰할 수 있는 관리자 및 IP 주소에 대한 액세스를 제한하여 이러한 취약점의 악용을 방지하는 것이 가장 좋습니다."

spot_img

벤처 캐피탈

VC 카페

벤처 캐피탈

최신 인텔리전스

spot_img

저작권 @ 2024 Plato Technologies Inc.