사이버범죄자, 지원 종료된 라우터 노려 봇넷 구축… FBI 긴급 경고

미국 FBI가 사이버범죄자가 더 이상 제조사에서 패치하지 않는 지원 종료(EOL) 라우터를 악용하고 있다고 경고했다.

특히, 5삭스(5Socks)와 애니프록시(Anyproxy)라는 범죄 네트워크가 공개된 익스플로잇을 사용하고, 지속적인 악성코드를 주입해 링크시스, 시스코, 크래들포인트의 구형 라우터에 침입하고 있다. 라우터가 감염되면 공격자는 가정용 프록시 봇넷에 추가해 공격자의 출처를 은폐하고 악성 행위나 랜섬웨어 캠페인을 수행한다.

FBI는 구형 장비를 즉시 교체하거나, 최소한 재부팅하고 원격 관리를 비활성화할 것을 권고했다.

보서론 시큐리티의 데이비드 시플리는 “기업에서 구형 라우터를 사용하는 경우, 인프라 공격에 스스로를 노출시키는 것”이라며, “대부분 방화벽이 없는 소규모 사업체일 가능성이 높고, 이는 랜섬웨어 공격 같은 상황으로 이어질 수 있다”라고 말했다.

FBI의 FLASH 권고는 보안 팀과 시스템 관리자에게 중요한 사이버보안 정보를 신속하게 전달하기 위해 발행되며, 현재 자주 탈취되고 있는 링크시스, 크래들포인트, 시스코의 라우터 13종을 명시하고 있다.

해당되는 모델은 다음과 같다.

• - 링크시스 E1200, E2500, E1000, E4200, E1500, E300, E3200, E1550, WRT320N, WRT310N, WRT610N
• - 크래들포인트 E100
• - 시스코 M10

FBI에 따르면 위협 행위자는 중국 정부의 지원을 받아 원격 관리 소프트웨어가 사전 설치된 라우터에서 알려진 취약점을 성공적으로 악용하고 있다. 그 후 악성코드를 설치하고, 봇넷을 구성하며, 프록시 서비스를 판매하거나 조직적인 공격을 수행한다.

FBI는 “프록시는 위협 행위자가 자신의 정체나 위치를 은폐하는 데 사용될 수 있다”라고 경고했다. 본질적으로는 악성 트래픽이 공격자의 실제 위치가 아닌 무고한 가정 네트워크에서 발생한 것처럼 보이는 것이다.

위협 행위자는 인터넷을 스캔해 노출된 라우터를 찾고, 인증 수단(비밀번호 포함)을 우회해 관리자 접근 권한을 획득하고 설정을 변경한다. 지속적인 접근을 통해 장치에 1분에서 5분 간격으로 주기적인 통신을 유지해 감염 상태를 지속시킨다.

FBI에 따르면, 악성코드는 명령 및 제어(C2) 서버를 통해 정보를 전송하며, 라우터와 “양방향 핸드셰이크”를 수행한다.

EOL 라우터는 더문(TheMoon) 악성코드 봇넷의 변종에 침해를 받는다. 더문은 2014년에 처음 발견되었고, 보안을 우회해 알려진 취약점을 활용해 라우터를 감염시키는 것으로 보인다.

시플리는 “이 장비들은 네트워크 스캔과 같은 정찰에 사용될 수 있고, 보안 도구에서 활동을 숨기거나 사고 이후 위협 행위자를 은폐하는 데 사용되는 프라이빗 토르 네트워크의 일부가 될 수 있다”라고 설명했다.

감염 여부를 알아내는 것은 어려울 수 있다. 대부분의 안티바이러스 도구가 라우터를 스캔할 수 없기 때문이다. FBI는 사용자에게 취약점을 판단할 수 있도록 공격 캠페인과 관련된 파일 목록을 제공했다.

SANS 기술 연구소의 연구 책임자 요하네스 울리히는 “사용자들은 라우터가 구형이고 취약하다는 사실을 종종 인식하지 못한다”라고 말했다. 또한 대부분의 경우 사용자에게 라우터가 곧 지원 종료될 것이라는 명확한 알림이 없다고 지적했다.

울리히는 “사용자가 정기적으로 업체를 확인하지 않으면, 라우터가 더 이상 업데이트를 받지 않는다는 사실을 모를 수 있다”라고 말했다.

FBI는 침해 지표로 다음과 같은 증상을 제시했다.

• - 연결 또는 성능 문제(예: 잦은 중단)
• - 이상한 네트워크 트래픽
• - 변경된 설정
• - 새로운(악성) 관리자 계정 등장

궁극적으로 FBI는 “이들 구형 장비는 추가 감염을 방지하기 위해 가능한 경우 공급업체의 지원 계획 내에 있는 신형 모델로 교체해야 한다”라고 권고했다.

즉각적인 교체가 불가능하다면, 사용자는 원격 관리를 비활성화하고, 모든 자격 증명을 변경하며(“고유하고 무작위적이며” 최소 16자에서 최대 64자 사이의 강력한 비밀번호 사용), 최신 펌웨어를 설치하고, 장치를 재부팅해 메모리에 상주한 악성코드를 제거해야 한다.

EOL 장비는 쉬운 표적이 된다

지원 종료된 네트워크 장비는 점점 더 사이버범죄자들의 표적이 되고 있다.

시스코 시스템즈의 탈로스 위협 인텔리전스 유닛은 2024년에 위협 행위자가 가장 많이 악용을 시도한 상위 3가지 취약점 중 2개가 더 이상 패치되지 않는 EOL 장비에 있었다고 밝혔다.

여기에는 D링크의 네트워크 저장 장치(CVE-2024-3273 및 CVE-2024-3272), 체크포인트 소프트웨어의 퀀텀 보안 게이트웨이(CVE-2024-24919)가 포함된다. 이 세 개의 CVE는 2024년 전체 네트워크 장비 취약점의 절반 이상을 차지했다.

FBI는 2010년 이전 출시된 라우터는 대부분 제조사에서 더 이상 소프트웨어 업데이트를 제공하지 않으며, 이미 알려진 취약점을 통해 쉽게 침해될 수 있다고 지적했다.

울리히는 “라우터와 같은 장비는 매달 한 번씩 업데이트 여부를 확인하는 일정 알림을 설정하는 것이 좋다”라고 조언했다. 또한 새 장비를 구매할 때는 EOL 일정을 미리 파악하고, 장치에 직접 그 날짜를 써 붙여 놓을 것을 추천했다.

여기에 더해 지원 종료된 장비는 가능한 한 빨리, 공급업체의 지원을 받고 있는 최신 장비로 교체해야 한다고 강조했다.

dl-itworldkorea@foundryco.com

Erin Hur editor@itworld.co.kr
저작권자 Foundry & ITWorld, 무단 전재 및 재배포 금지