먼 곳에서, 수많은 일상 장치에 영향을 미치는 조용한 네트워크 침입은 끊임없이 이어지는 국가 지원 디지털 전쟁을 소름 끼치게 상기시킵니다.
루멘 테크놀로지스의 블랙 로터스 랩스가 악명 높은 러시아 군 정보기관인 APT28이 주도한 정교하고 광범위한 캠페인을 공개했습니다. 이 캠페인은 전 세계적으로 약 1만 8천 대에서 4만 대의 소비자용 라우터를 장악한 것으로 추정됩니다. 주로 120개국에 흩어진 MikroTik 및 TP-Link 장치가 대상이며, 이들은 민감한 비밀번호와 인증 토큰을 수집하는 정보 작전을 위한 비밀 인프라로 재활용되고 있습니다.
이는 새로운 일이 아니며, Pawn Storm, Sednit, Forest Blizzard 등 혼란스러울 정도로 다양한 별명으로도 알려진 APT28 역시 마찬가지입니다. 20년간 다듬어진 이 단체의 공격 방식은 전 세계 정부와 주요 기관을 지속적으로 노려왔습니다. 하지만 이번에 동원된 공격의 규모와 특정 수법은 날카로운 분석 렌즈를 요구합니다.
어떻게 정보 탈취와 연결되는가?
탈취된 라우터는 단순한 수동적 통신로가 아닙니다. APT28의 도구함에서 능동적인 역할을 수행합니다. 이 감염된 장치들의 작은 일부는 프록시 역할을 하며, 이 단체가 외국 정부 부처, 법 집행 기관 및 기타 정부 기관 소유의 훨씬 더 큰 규모의 라우터 네트워크와 연결되는 것을 은폐합니다. 이를 통해 APT28은 은폐된 계층을 통해 의도한 대상을 감시할 수 있습니다. 또한, 이 단체는 Microsoft 365 도메인을 포함한 중요 웹사이트의 DNS 설정을 조작하여, 사용자의 트래픽이 의도한 목적지에 도달하기 전에 악성 서버를 통해 우회하도록 만드는 능력을 보여주었습니다. 이는 고전적인 중간자 공격(man-in-the-middle) 영역이지만, 라우터 수준에서 전체 로컬 네트워크에 영향을 미칩니다.
특히 우려되는 점은 APT28의 카멜레온 같은 진화입니다. 블랙 로터스 랩스는 이들이 LLM ‘LAMEHUG’와 같은 최첨단 도구와 “입증된, 오래된 기술”을 결합하는 재능을 가지고 있다고 지적합니다. 이러한 이중성은 고급 지속 위협(APT)의 특징입니다. 공개적으로 노출된 후에도 오래된 패치되지 않은 라우터 모델을 악용하는 등 옛 방식을 다시 사용하는 것을 두려워하지 않으며, 이는 목표 달성에 대한 끊임없는 추구를 보여줍니다.
“Forest Blizzard는 대규모 언어 모델(LLM) ‘LAMEHUG’와 같은 최첨단 도구와 입증된, 오래된 기술을 결합하는 것으로 알려져 있으며, 방어자들보다 앞서나가기 위해 전술을 지속적으로 진화시키고 있습니다. 그들의 과거 및 현재 캠페인은 기술적 정교함과 공개 노출 후에도 고전적인 공격 방법을 다시 방문하려는 의지를 모두 보여주며, 전 세계 조직에 대한 이 행위자가 지속적으로 제기하는 위험을 강조합니다.”라고 블랙 로터스 연구원들은 썼습니다.
공격 경로는 업데이트되지 않은 오래된 라우터 펌웨어의 알려진 보안 취약점을 악용하는 데 달려 있습니다. 일단 액세스가 확보되면, 공격자는 DNS 설정을 변경하고 동적 호스트 구성 프로토콜(DHCP)을 사용하여 이러한 변경 사항을 연결된 워크스테이션으로 전파합니다. 결과: 사용자가 합법적인 사이트를 방문하려고 할 때, 연결은 공격자의 인프라를 통해 보이지 않게 차단되어, 계정 정보 탈취와 잠재적으로 더 깊은 네트워크 침투를 가능하게 합니다.
침해된 인프라의 시장 역학
시장 관점에서 볼 때, 이는 종종 간과되는 인터넷의 가장자리, 즉 수백만 개의 가정 및 소규모 사무실 라우터에 대한 중대한 취약점을 강조합니다. 깊은 IT 보안 전문 지식 없이 개인 및 소규모 비즈니스에서 구매하는 이러한 장치는 방대하고 분산된 공격 표면을 나타냅니다. APT28과 같은 위협 행위자에게는 금전적 인센티브가 분명합니다. 침해된 계정 정보는 기업 네트워크에 대한 액세스를 잠금 해제하거나, 금융 사기를 가능하게 하거나, 추가적인 정보 탈취를 촉진하여 상당한 수익을 창출할 수 있습니다.
이 캠페인은 또한 더 넓은 추세, 즉 국가의 사이버 역량의 증가하는 군사화를 강조합니다. GRU의 참여는 전통적인 방어를 우회하는 디지털 정보 작전 도구에 대한 전략적이고 장기적인 투자를 의미합니다. 침해된 장치의 엄청난 수는 기회주의적 해킹을 훨씬 뛰어넘는 고도로 자동화되고 조정된 노력을 시사합니다.
내 생각은? ‘LAMEHUG’와 같은 LLM은 최첨단처럼 들리지만, 여기서 진정한 위협은 정교한 도구와 패치 무시에 대한 영원한 취약성의 결합에 있습니다. GRU는 단순한 하이테크 조직이 아닙니다. 그들은 실용적입니다. 그들은 10년 된 취약점이 널리 패치되지 않았다면, 특히 AI를 사용하여 익스플로잇 체인을 최적화할 수 있을 때 여전히 금광이라는 것을 알고 있습니다. 이러한 라우터를 제공하는 회사와 그 고객에게 책임이 있습니다. 이것은 단순한 ‘보안 문제’가 아니라, 공급업체와 사용자 모두의 즉각적이고 지속적인 주의가 필요한 근본적인 인프라 위험입니다.
인터넷 연결의 기반 인프라에 대한 이러한 지속적인 위협은 단순한 수동적 패치 이상의 것을 요구합니다. 더욱 안전하게 설계된 장치를 만들기 위한 라우터 제조업체의 사전 예방적 접근 방식과 펌웨어 업데이트를 우선시하는 최종 사용자의 노력이 필요하며, 이는 우리가 디지털 생활에서 간과했던 구석들을 덜 매력적인 표적으로 만듭니다.
🧬 관련 인사이트
자주 묻는 질문
어떤 유형의 라우터가 가장 위험합니까?
주로 MikroTik 및 TP-Link의 구형 모델, 특히 최신 보안 패치로 업데이트되지 않은 모델입니다. 공격자는 알려진 취약점을 악용합니다.
APT28이란 무엇인가요?
APT28은 러시아 군 정보국 GRU와 관련된 매우 활동적이고 정교한 위협 그룹입니다. 전 세계 정부와 조직을 대상으로 광범위한 사이버 공격을 감행하는 것으로 알려져 있습니다.
이것이 내 인터넷 트래픽에 어떻게 영향을 미칩니까?
라우터가 감염되면 인터넷 트래픽이 악성 서버를 통해 재라우팅될 수 있습니다. 이는 비밀번호, 금융 정보 도용이나 가짜 웹사이트로의 리디렉션에 사용될 수 있으며, 온라인 보안 및 개인 정보 보호에 영향을 미칩니다.
