
러시아군이 간첩 활동에 사용할 비밀번호와 자격 증명 토큰을 수집하는 사이트로 무의식적인 사용자를 보내는 광범위한 작전을 통해 다시 한번 가정과 소규모 사무실 라우터를 해킹하고 있다고 연구원들이 화요일 밝혔습니다.
Lumen Technologies의 Black Lotus Labs 연구원들은 약 18,000~40,000개의 소비자 라우터(대부분 120개국에 위치한 MikroTik 및 TP-Link에서 제조한 라우터)가 GRU로 알려진 러시아 군사 정보 기관의 일부인 지능형 위협 그룹인 APT28에 속한 인프라에 랭글링되었다고 밝혔습니다. 이 위협 그룹은 최소 20년 동안 활동해 왔으며 전 세계 정부를 표적으로 삼은 수십 건의 대규모 해킹을 주도하고 있습니다. APT28은 Pawn Storm, Sofacy Group, Sednit, Tsar Team, Forest Blizzard 및 STRONTIUM을 포함한 이름으로도 추적됩니다.
기술적 정교함, 검증된 기술
APT28이 염탐하려는 외무부, 법 집행 기관, 정부 기관에 속한 훨씬 더 많은 수의 라우터에 연결하기 위해 소수의 라우터가 프록시로 사용되었습니다. 그런 다음 그룹은 라우터 제어를 사용하여 회사의 365 서비스 도메인을 포함하여 일부 웹 사이트에 대한 DNS 조회를 변경했습니다.
Black Lotus 연구진은 “LLM(대형 언어 모델) ‘LAMEHUG’와 같은 최첨단 도구를 입증된 오랜 기술과 혼합한 것으로 알려진 Forest Blizzard는 수비수보다 앞서기 위해 지속적으로 전술을 발전시키고 있습니다.”라고 썼습니다. “그들의 이전 및 현재 캠페인은 기술적 정교함과 대중에게 노출된 후에도 고전적인 공격 방법을 재검토하려는 의지를 모두 강조하여 이 행위자가 전 세계 조직에 가하는 지속적인 위험을 강조합니다.”
라우터를 하이재킹하기 위해 공격자는 알려진 보안 취약점에 대해 패치가 적용되지 않은 구형 모델을 악용했습니다. 그런 다음 특정 도메인에 대한 DNS 설정을 변경하고 동적 호스트 구성 프로토콜을 사용하여 이를 라우터에 연결된 워크스테이션에 전파했습니다. 연결된 장치가 선택한 도메인을 방문하면 해당 연결은 의도한 목적지에 도달하기 전에 악성 서버를 통해 프록시되었습니다.