취약한 라우터 침해한 후 DNS 설정 바꿔...16500개 라우터 취약해
지메일, 페이팔, 넷플릭스, 우버 등 유명 서비스 이용자의 크리덴셜 탈취
[보안뉴스 문가용 기자] 지난 3개월 동안 진행된 DNS 하이재킹 캠페인의 표적은 지메일, 페이팔, 넷플릭스 등 유명 온라인 서비스들의 사용자인 것으로 밝혀졌다. 공격자들은 소비자들의 라우터들을 침해해 DNS 설정 내용을 바꿈으로써 사용자들을 가짜 웹사이트들로 우회시켰고, 여기서 로그인 크리덴셜을 훔쳤다.
[이미지 = iclickart]
12월부터 이 공격을 추적해 상세히 밝힌 배드 패키츠(Bad Packets) 보안 팀의 연구원들은 현재까지 네 개의 악성 DNS 서버들을 발견해냈다고 밝혔다. 공격자들은 이 서버들을 사용해 웹 트래픽을 자신들이 원하는 곳으로 우회시켰다고 한다. “공격 시도는 전부 구글 클라우드 플랫폼(Google Cloud Platform)의 호스트들로부터 이뤄졌습니다.”
공격자들은 디링크(D-Link)사의 DSL 모뎀들을 노리고 DNS 하이재킹을 실시했다. 주로 표적이 된 모델들은 DSL-2640B, DSL-2740R, DSL-2780B, DSL-526B였다. 이 공격에 사용된 악성 DNS 서버는 OVH 캐나다(OVH Canada)라는 회사가 호스팅한 것으로 밝혀졌다. IP 주소는 66.70.173.48이었다.
그것이 첫 번째 공격이었고, 두 번째 공격은 조금 달랐다. 공격의 표적이 된 건 여전히 디링크의 모뎀들이었으나, 가짜 DNS 서버의 IP 주소가 144.217.191.145였던 것이다. 호스팅 업체는 여전히 OVH 캐나다였다. “DNS 요청들은 대부분 두 개의 IP 주소들로 우회됐습니다. 하나는 범죄자들에게 우호적인 호스팅 업체였고, 다른 하나는 도메인 파킹을 통해 수익을 만드는 곳이었습니다.”
세 번째 공격은 보다 많은 라우터 모델들을 노리면서 진행됐다. ARG-W4 ADSL 라우터들과 DSLink 260E 라우터들, 시큐테크(Secutech)의 라우터들과 토토링크(TOTOLINK) 라우터들도 공격에 포함됐다.
이 세 번의 공격 모두 세 개의 구글 클라우드 플랫폼 호스트 세 개와 악성 DNS 서버 두 개로부터 시작됐다. 두 개의 악성 DNS 서버의 경우 러시아의 이노벤티카 서비스(Inoventica Services)에 호스팅 되어 있었다. IP 주소는 195.128.126.165와 195.128.124.131이었다.
“공격자들이 구글의 클라우드 플랫폼을 사용한 건, 여러 가지 이유가 있는 것으로 추측됩니다. 먼저는 구글 클라우드 서비스를 통해 제공되는 기능들을 가지고 취약한 라우터를 스캔할 수 있었습니다. 그리고 구글 플랫폼을 통해 원격에서 취약한 라우터의 DNS 설정을 바꿀 수 있었고요.”
제일 중요한 건 “구글 계정을 가진 사람들은 전부 ‘구글 클라우드 셸(Google Cloud Shell)’이라는 기계에 쉽게 접근할 수 있다는 것”이라고 전문가들은 말한다. 구글 클라우드 셸은 리눅스 가상 비밀 서버(Linux VPS)와 비슷한 것으로, 사용자들이 이 서비스를 통해 구글 SDK 명령줄 도구 및 유틸리티를 사용할 수 있게 된다.
배드 패키츠는 “서비스 남용에 대한 보고서를 제출했을 때 구글의 대응이 늦다는 것도 공격자들에게 우호적으로 작용했을 것”이라고 지적한다.
또한 세 번의 공격을 실시하는 데 있어 공격자들은 먼저 매스캔(Masscan)이라는 툴을 사용해 정찰용 스캔을 실시했다. 포트 81/TCP에 활성화 되어 있는 호스트들을 찾아내기 위한 것이었다. 호스트들을 발견한 이후에야 DNS 하이재킹 공격을 실시했다.
공격자들이 노린 건 지메일, 페이팔, 넷플릭스, 우버를 비롯해 몇 개의 브라질 은행 사용자들로 보인다. 이 서비스의 사용자들을 노린 가짜 페이지들이 마련됐고, 여기서 사용자 이름과 비밀번호가 도난당했다. 배드 패키츠의 보안 전문가들은 이 DNS 하이재킹 공격에 잠재적으로 당할 수 있는 라우터를 16500개 이상 찾아냈다.
구글 클라우드의 대변인은 “이번 사기 활동에 연루된 계정들을 전부 차단했고, 새롭게 나타나고 있는 유사 행위들을 근절시키기 위한 작업에 돌입했다”고 발표했다. “이러한 활동은 구글의 이용자 약관을 어기는 행위들이며, 유사한 행위를 탐지하기 위한 기술과 프로세스를 구축했습니다.”
배드 패키츠는 “결국 이 사건은 일반 사용자들이 보안 위생을 지키는 것이 얼마나 중요한지를 알려주는 것”이라고 정리한다. “라우터의 펌웨어를 항상 업데이트함으로써 취약점을 하나도 남기지 말아야 합니다. 이번 공격 캠페인도 결국 라우터에 취약점이 있어서 성립 가능한 것이거든요.”
3줄 요약
1. 3달 동안 진행된 DNS 하이재킹 공격, 유명 온라인 서비스 사용자 노림.
2. 이 과정에서 다양한 종류의 라우터들이 표적이 됨. 구글 클라우드 플랫폼에 대한 어뷰징도 발견됨.
3. 대처가 늦다는 지적 나오자 구글은 공격에 연루된 계정 전부 차단함.
[국제부 문가용 기자(globoan@boannews.com)]
지메일, 페이팔, 넷플릭스, 우버 등 유명 서비스 이용자의 크리덴셜 탈취
[보안뉴스 문가용 기자] 지난 3개월 동안 진행된 DNS 하이재킹 캠페인의 표적은 지메일, 페이팔, 넷플릭스 등 유명 온라인 서비스들의 사용자인 것으로 밝혀졌다. 공격자들은 소비자들의 라우터들을 침해해 DNS 설정 내용을 바꿈으로써 사용자들을 가짜 웹사이트들로 우회시켰고, 여기서 로그인 크리덴셜을 훔쳤다.
[이미지 = iclickart]
12월부터 이 공격을 추적해 상세히 밝힌 배드 패키츠(Bad Packets) 보안 팀의 연구원들은 현재까지 네 개의 악성 DNS 서버들을 발견해냈다고 밝혔다. 공격자들은 이 서버들을 사용해 웹 트래픽을 자신들이 원하는 곳으로 우회시켰다고 한다. “공격 시도는 전부 구글 클라우드 플랫폼(Google Cloud Platform)의 호스트들로부터 이뤄졌습니다.”
공격자들은 디링크(D-Link)사의 DSL 모뎀들을 노리고 DNS 하이재킹을 실시했다. 주로 표적이 된 모델들은 DSL-2640B, DSL-2740R, DSL-2780B, DSL-526B였다. 이 공격에 사용된 악성 DNS 서버는 OVH 캐나다(OVH Canada)라는 회사가 호스팅한 것으로 밝혀졌다. IP 주소는 66.70.173.48이었다.
그것이 첫 번째 공격이었고, 두 번째 공격은 조금 달랐다. 공격의 표적이 된 건 여전히 디링크의 모뎀들이었으나, 가짜 DNS 서버의 IP 주소가 144.217.191.145였던 것이다. 호스팅 업체는 여전히 OVH 캐나다였다. “DNS 요청들은 대부분 두 개의 IP 주소들로 우회됐습니다. 하나는 범죄자들에게 우호적인 호스팅 업체였고, 다른 하나는 도메인 파킹을 통해 수익을 만드는 곳이었습니다.”
세 번째 공격은 보다 많은 라우터 모델들을 노리면서 진행됐다. ARG-W4 ADSL 라우터들과 DSLink 260E 라우터들, 시큐테크(Secutech)의 라우터들과 토토링크(TOTOLINK) 라우터들도 공격에 포함됐다.
이 세 번의 공격 모두 세 개의 구글 클라우드 플랫폼 호스트 세 개와 악성 DNS 서버 두 개로부터 시작됐다. 두 개의 악성 DNS 서버의 경우 러시아의 이노벤티카 서비스(Inoventica Services)에 호스팅 되어 있었다. IP 주소는 195.128.126.165와 195.128.124.131이었다.
“공격자들이 구글의 클라우드 플랫폼을 사용한 건, 여러 가지 이유가 있는 것으로 추측됩니다. 먼저는 구글 클라우드 서비스를 통해 제공되는 기능들을 가지고 취약한 라우터를 스캔할 수 있었습니다. 그리고 구글 플랫폼을 통해 원격에서 취약한 라우터의 DNS 설정을 바꿀 수 있었고요.”
제일 중요한 건 “구글 계정을 가진 사람들은 전부 ‘구글 클라우드 셸(Google Cloud Shell)’이라는 기계에 쉽게 접근할 수 있다는 것”이라고 전문가들은 말한다. 구글 클라우드 셸은 리눅스 가상 비밀 서버(Linux VPS)와 비슷한 것으로, 사용자들이 이 서비스를 통해 구글 SDK 명령줄 도구 및 유틸리티를 사용할 수 있게 된다.
배드 패키츠는 “서비스 남용에 대한 보고서를 제출했을 때 구글의 대응이 늦다는 것도 공격자들에게 우호적으로 작용했을 것”이라고 지적한다.
또한 세 번의 공격을 실시하는 데 있어 공격자들은 먼저 매스캔(Masscan)이라는 툴을 사용해 정찰용 스캔을 실시했다. 포트 81/TCP에 활성화 되어 있는 호스트들을 찾아내기 위한 것이었다. 호스트들을 발견한 이후에야 DNS 하이재킹 공격을 실시했다.
공격자들이 노린 건 지메일, 페이팔, 넷플릭스, 우버를 비롯해 몇 개의 브라질 은행 사용자들로 보인다. 이 서비스의 사용자들을 노린 가짜 페이지들이 마련됐고, 여기서 사용자 이름과 비밀번호가 도난당했다. 배드 패키츠의 보안 전문가들은 이 DNS 하이재킹 공격에 잠재적으로 당할 수 있는 라우터를 16500개 이상 찾아냈다.
구글 클라우드의 대변인은 “이번 사기 활동에 연루된 계정들을 전부 차단했고, 새롭게 나타나고 있는 유사 행위들을 근절시키기 위한 작업에 돌입했다”고 발표했다. “이러한 활동은 구글의 이용자 약관을 어기는 행위들이며, 유사한 행위를 탐지하기 위한 기술과 프로세스를 구축했습니다.”
배드 패키츠는 “결국 이 사건은 일반 사용자들이 보안 위생을 지키는 것이 얼마나 중요한지를 알려주는 것”이라고 정리한다. “라우터의 펌웨어를 항상 업데이트함으로써 취약점을 하나도 남기지 말아야 합니다. 이번 공격 캠페인도 결국 라우터에 취약점이 있어서 성립 가능한 것이거든요.”
3줄 요약
1. 3달 동안 진행된 DNS 하이재킹 공격, 유명 온라인 서비스 사용자 노림.
2. 이 과정에서 다양한 종류의 라우터들이 표적이 됨. 구글 클라우드 플랫폼에 대한 어뷰징도 발견됨.
3. 대처가 늦다는 지적 나오자 구글은 공격에 연루된 계정 전부 차단함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
