글로벌 공격의 가능성, VPN필터 멀웨어, 악성코드 개념 설명

1. VPN 필터 멀웨어

Picture: Cisco Talos VPN Filter

- 다양한 공격을 할 수 있도록 해커가 미리 뚫어 놓는 땅굴과 비슷

- 라우터나 NSA류 장비를 감염시킨다고 알려져있었음

- 현재 모듈중에는 악성 코드를 웹 트래픽에 주입하는 기능이 발견됨

- 러시아가 배후 세력으로 지목됨(감염된 기기 대부분 우크라이나, 정전사태 일으킨 Black Energy 멀웨어와 유사, C&C 서버 우크라이나에 위치)

- 시스코 탈로스 팀에 의해 밝혀짐

- 전세계 54개국 약 50만개의 라우터 감염된 것으로 알려짐

- 기기로부터 데이터 빼내기, 네트워크 통신 상태 모니터링, 자가 파괴 가능

- 감염 가능 기기 : 링크시스, 넷기어, 마이크로틱, TP-링크, 큐냅 기기, 에이수스, 화웨이, D-링크, ZTE

2. 감염 단계

Picture: Cisco Talos – VPN Filter

1) VPN 필터 감염 1단계

- 잠입 단계

- 특정 호스팅된 이미지들로 부터 IP 주소 추출

- 라우터를 전원을 껏다 켜도 사라지지 않는 특징 

2) VPN 필터 감염 2단계

- 정찰 단계

- 라우터 통한 파일과 데이터를 수집

- 분석될 경우를 대비하여 자폭하는 기능 탑재

3) VPN 필터 감염 3단계

- 모듈 침투 단계

- Credentials와 Modbus SCADA 프로토콜 등을 수집하는 모듈, Tor와 같은 익명화 기능을 추가시킴

3. VPN 필터 감염 피해

- 데이터 도용 위험

- 디바이스 무력화

- 국가기반시설, SCADA 시스템 무력화 가능성

- 수만 명 오프라인 상태로 만들기 가능

- 비밀리에 암호화페 채굴

4. 감염 대응책

- 시스코 : 피해 업체들과 함께 고객들에게 최대한 알림

- 넷기어 : 취약점 개선 펌웨어 배포

- 시스코에 딸면 업데이트가 어려운 경우 라우터를 자주 껐다 키는 것이 좋지만 1단계 상태는 유지되므로 근본적 해결은 제조사 차원에서 해결해야함

5. 결론

- 라우터 원격 관리 기능 비활성화가 우선, 라우터 설정에 진입하는 암호 변경 필요

- 보안 취약한 가정용 라우터 및 NAS가 감염되고 있는 추세

- 라우터는 IoT인 만큼 앞으로도 IoT에 대한 공격 방법이 활발해질것으로 예상

참고자료 :

- Cisco 타로스

https://www.talosintelligence.com/

- VPN필터 도메인 빠르게 확보한 FBI, 발표 내용에서 의문 제기돼

http://www.boannews.com/media/view.asp?idx=69902&kind=1

- VPN필터, 인프라 와해됐어도 여전히 우크라이나 공격중

http://www.boannews.com/media/view.asp?idx=70150&kind=1

- VPN필터, 알고 보니 더 무서운 공격이었다

http://www.boannews.com/media/view.asp?idx=70188&mkind=1&kind=1