전문가들 “중국 해킹 조직 전략과 유사…2021년 익스체인지 사건과 닮아”
보안 패치 후에도 침입 계속…연방·주정부 등 주요 기관 타깃
[보안뉴스 여이레 기자] 마이크로소프트 ‘쉐어포인트’(SharePoint) 취약점을 악용한 미국 공공기관 등에 대한 침해 공격에 중국 정부와 연계된 해커들이 관여됐다는 분석이 나온다.
[자료: gettyimagesbank]
쉐어포인트는 문서와 프로젝트를 공동 관리할 수 있도록 지원하는 기업용 플랫폼이다.
22일(현지시간) 워싱턴포스트에 따르면, 이번 취약점은 마이크로소프트가 20일 발표한 보안 패치 이후에도 완전히 해결되지 않은 상태였으며 이를 노린 해커들의 침입이 잇따랐다.
이번 공격을 통해 해커들은 마이크로소프트 고객사 서버에서 암호화 키를 탈취했으며 이를 이용해 시스템에 백도어를 심거나 언제든 다시 침입할 수 있는 권한을 확보한 것으로 전해진다. 연구진은 일부 연방 및 주 정부 기관들도 이번 공격의 영향을 받았다고 분석했다.
구글 산하 맨디언트컨설팅 찰스 카르마칼 CTO는 “이번 초기 공격을 벌인 주체 중 최소 하나가 중국과 연계된 위협 그룹”이라고 지목했다. 익명을 요청한 다른 보안 전문가는 워싱턴포스트에 “금요일과 토요일 침해가 확인된 쉐어포인트 일부 미국 서버에서 중국 IP 주소와 통신한 정황이 확인됐다“고 말했다.
유럽 보안 기업 아이시큐리티 CTO 피에트 케르코프스도 “이번 쉐어포인트 공격은 중국 해커들이 과거 사용한 전략과 유사하다”며 “최근 넷스케일러 데스크톱 취약점을 이용한 방식과 같은 ‘취약점 악용-신속한 무기화’ 패턴이 반복되고 있다”고 분석했다.
또 2021년 초 중국 정부 연계 해커 그룹 ‘실크 타이푼’(Silk Typhoon)이 마이크로소프트 익스체인지 이메일 서버를 대규모로 공격한 사례와도 유사하다는 평가다. 실크 타이푼은 중국 국가안전부(MSS)와 연계된 정찰형 해킹 집단으로 미국 연방 기관은 물론 최근 들어 유럽 여러 정부 부처까지 침투한 것으로 알려졌다.
마이크로소프트는 21일 모든 취약 버전에 대한 패치를 완료했으나 충분하지 않다는 경고가 나온다. 마이크로소프트 역시 이미 발생한 침해는 직접 찾아야 한다는 입장이다. 또 패치가 이뤄진 경우에도 고객 스스로 컴퓨터 디지털 키를 변경하고 악성코드 방지 소프트웨어를 적용해야 한다.
카르마칼 CTO는 “다수 해커들이 이 취약점을 적극적으로 악용하고 있다”며 “앞으로도 다양한 위협이 계속될 것으로 보인다”고 경고했다.
한편 FBI, 백악관, 국토안보부 산하 사이버안보 및 인프라 보안국(CISA)은 이번 사안에 대해 공식 입장을 밝히지 않았다고 워싱턴포스트는 전했다.
[여이레 기자(gore@boannews.com)]
보안 패치 후에도 침입 계속…연방·주정부 등 주요 기관 타깃
[보안뉴스 여이레 기자] 마이크로소프트 ‘쉐어포인트’(SharePoint) 취약점을 악용한 미국 공공기관 등에 대한 침해 공격에 중국 정부와 연계된 해커들이 관여됐다는 분석이 나온다.
[자료: gettyimagesbank]
쉐어포인트는 문서와 프로젝트를 공동 관리할 수 있도록 지원하는 기업용 플랫폼이다.
22일(현지시간) 워싱턴포스트에 따르면, 이번 취약점은 마이크로소프트가 20일 발표한 보안 패치 이후에도 완전히 해결되지 않은 상태였으며 이를 노린 해커들의 침입이 잇따랐다.
이번 공격을 통해 해커들은 마이크로소프트 고객사 서버에서 암호화 키를 탈취했으며 이를 이용해 시스템에 백도어를 심거나 언제든 다시 침입할 수 있는 권한을 확보한 것으로 전해진다. 연구진은 일부 연방 및 주 정부 기관들도 이번 공격의 영향을 받았다고 분석했다.
구글 산하 맨디언트컨설팅 찰스 카르마칼 CTO는 “이번 초기 공격을 벌인 주체 중 최소 하나가 중국과 연계된 위협 그룹”이라고 지목했다. 익명을 요청한 다른 보안 전문가는 워싱턴포스트에 “금요일과 토요일 침해가 확인된 쉐어포인트 일부 미국 서버에서 중국 IP 주소와 통신한 정황이 확인됐다“고 말했다.
유럽 보안 기업 아이시큐리티 CTO 피에트 케르코프스도 “이번 쉐어포인트 공격은 중국 해커들이 과거 사용한 전략과 유사하다”며 “최근 넷스케일러 데스크톱 취약점을 이용한 방식과 같은 ‘취약점 악용-신속한 무기화’ 패턴이 반복되고 있다”고 분석했다.
또 2021년 초 중국 정부 연계 해커 그룹 ‘실크 타이푼’(Silk Typhoon)이 마이크로소프트 익스체인지 이메일 서버를 대규모로 공격한 사례와도 유사하다는 평가다. 실크 타이푼은 중국 국가안전부(MSS)와 연계된 정찰형 해킹 집단으로 미국 연방 기관은 물론 최근 들어 유럽 여러 정부 부처까지 침투한 것으로 알려졌다.
마이크로소프트는 21일 모든 취약 버전에 대한 패치를 완료했으나 충분하지 않다는 경고가 나온다. 마이크로소프트 역시 이미 발생한 침해는 직접 찾아야 한다는 입장이다. 또 패치가 이뤄진 경우에도 고객 스스로 컴퓨터 디지털 키를 변경하고 악성코드 방지 소프트웨어를 적용해야 한다.
카르마칼 CTO는 “다수 해커들이 이 취약점을 적극적으로 악용하고 있다”며 “앞으로도 다양한 위협이 계속될 것으로 보인다”고 경고했다.
한편 FBI, 백악관, 국토안보부 산하 사이버안보 및 인프라 보안국(CISA)은 이번 사안에 대해 공식 입장을 밝히지 않았다고 워싱턴포스트는 전했다.
[여이레 기자(gore@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
