펄스 시큐어의 VPN 제품 및 서비스에서 발견된 취약점들이 국가 지원 해커들의 공격을 거세게 받고 있다. 국방 및 금융 산업이 위험한 상황이라고 한다. 공격의 배후에는 러시아와 중국 정부가 있는 것으로 추정된다.
[보안뉴스 문가용 기자] 국가 지원을 받는 사이버 공격자들이 펄스 시큐어(Pulse Secure) VPN에서 발견된 취약점들을 활발히 익스플로잇 하고 있다는 경고가 나왔다. 펄스 시큐어를 지난 해 인수한 소프트웨어 업체 이반티(Ivanti)는 “공격자들이 펄스 커넥트 시큐어(Pulse Connect Secure(PCS) 장비 고객 중 소수를 노리고 있다”고 발표하며 “보안 업체 파이어아이(FireEye) 및 CISA와 함께 사건에 대응하는 중”이라고 밝혔다.
[이미지 = utoimage]
공격자들이 적극적으로 익스플로잇 하고 있는 취약점은 CVE-2020-8243, CVE-2020-8260, CVE-2019-11510으로, 미국 정보보안 전담 기구인 CISA의 경고문에 의하면 러시아의 해외 첩보 수집 기관인 SVR이 특히 심하게 공격하고 있다고 한다. 이는 미국 정부 조직 및 미국과 동맹을 맺고 있는 국가의 기관들에 침투하기 위한 것이라고 CISA는 설명했다. 이 취약점들 전부 2019년과 2020년에 패치된 바 있다. 다만 패치를 아직 적용하지 않은 사용자들이 존재한다고 이반티는 주장했다.
그런데 이번 경고문에 새로운 취약점이 언급됐다. CVE-2021-22893으로, 이번 달 처음 발견된 취약점이다. 인증 우회를 가능하게 해 주기 때문에 공격자가 따로 인증 과정을 거치지 않아도 되며, 이를 통해 펄스 커넥트 시큐어 게이트웨이에서 임의의 파일을 실행시킬 수 있게 된다. 이에 이반티는 취약점 존재 유무를 확인할 수 있게 해 주는 도구를 개발해 발표했다. 패치는 5월에 나올 예정이라고 한다.
이번 익스플로잇 공격을 실시하는 해킹 그룹의 이름을 이반티는 직접 밝히지 않고 있다. 다만 이반티와 함께 조사 중에 있는 보안 업체 파이어아이(FireEye)는 보고서를 통해 공격자가 중국 정부와 관련이 있는 것으로 보인다고 주장했다. 또한 펄스 시큐어 서비스의 익스플로잇에 연루된 멀웨어 패밀리들은 총 12개라고 하는데, 이들은 과거 별개로 활용되기도 했었기 때문에 서로의 연관성이 짙다고 결론을 내리기 힘들다고 한다. 오히려 여러 조직들이 펄스 시큐어를 노리고 있다고 보는 게 자연스럽다는 게 파이어아이의 의견이다.
다만 여기서 주의해서 지켜봐야 할 조직이 하나 있는데, 바로 UNC2630이다. 파이어아이는 올해 초 국방과 금융 분야와 관련된 단체들을 노리는 사이버 공격을 조사한 바 있다. UNC2630의 소행이었다. 공격의 근원을 추적해 올라가다 보니 대부분 펄스 시큐어 VPN과 관련되어 있었음이 드러났다. 다만 공격자들이 VPN 서비스의 관리자 권한을 어떻게 탈취했는지는 아직도 분명하지 않다고 한다. 이반티는 위에서 언급된 취약점들을 통한 침투 가능성이 높다고 보고 있다.
UNC2630은 취약점 익스플로잇을 통해 펄스 시큐어 VPN에 안착한 뒤, 공격 지속성을 확보하고 다양한 악성 행위를 실시한 것으로 보인다. 트로이목마로 변경된 공유 객체들을 통해 로그인 크리덴셜을 확보했고, 이를 통해 다중인증 시스템도 뚫어냈다. 웹셸을 설치해 또 다른 침투 경로를 만들어 두기도 했다. 이번 공격에도 UNC2630이 참여했을 가능성이 매우 높아 보이지만, 파이어아이는 “아직 결론을 내리지는 않고 있다”고 말한다. “조금 더 정보를 수집해 보아야 확실히 알 수 있습니다.”
UNC2630의 공격 인프라와 도구, 악성 행위들은 파이어아이가 한 번도 보지 못한 특성을 보였다. 즉, 과거 수많은 공격 캠페인을 통해 모습을 드러낸 공격자들과 다른 새로운 단체가 출현한 것으로 의심된다는 것이다. 하지만 2014년과 2015년에 중국 해커 조직인 APT5가 진행한 일부 공격 캠페인과의 유사성이 어느 정도 발견되고 있기도 하다. 따라서 UNC2630의 배후에도 중국 정부가 있을 가능성이 높게 점쳐지고 있는 상황이다.
3줄 요약
1. 펄스 시큐어의 VPN 서비스를 통한 사이버 공격이 거세게 이어지는 상황.
2. CISA는 러시아의 SVR을, 파이어아이는 중국의 APT5 혹은 UNC2630을 의심하고 있음.
3. 여러 멀웨어가 발굴된 것으로 보아 다양한 해커들이 움직이고 있다고 보는 게 자연스러움.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 국가 지원을 받는 사이버 공격자들이 펄스 시큐어(Pulse Secure) VPN에서 발견된 취약점들을 활발히 익스플로잇 하고 있다는 경고가 나왔다. 펄스 시큐어를 지난 해 인수한 소프트웨어 업체 이반티(Ivanti)는 “공격자들이 펄스 커넥트 시큐어(Pulse Connect Secure(PCS) 장비 고객 중 소수를 노리고 있다”고 발표하며 “보안 업체 파이어아이(FireEye) 및 CISA와 함께 사건에 대응하는 중”이라고 밝혔다.
[이미지 = utoimage]
공격자들이 적극적으로 익스플로잇 하고 있는 취약점은 CVE-2020-8243, CVE-2020-8260, CVE-2019-11510으로, 미국 정보보안 전담 기구인 CISA의 경고문에 의하면 러시아의 해외 첩보 수집 기관인 SVR이 특히 심하게 공격하고 있다고 한다. 이는 미국 정부 조직 및 미국과 동맹을 맺고 있는 국가의 기관들에 침투하기 위한 것이라고 CISA는 설명했다. 이 취약점들 전부 2019년과 2020년에 패치된 바 있다. 다만 패치를 아직 적용하지 않은 사용자들이 존재한다고 이반티는 주장했다.
그런데 이번 경고문에 새로운 취약점이 언급됐다. CVE-2021-22893으로, 이번 달 처음 발견된 취약점이다. 인증 우회를 가능하게 해 주기 때문에 공격자가 따로 인증 과정을 거치지 않아도 되며, 이를 통해 펄스 커넥트 시큐어 게이트웨이에서 임의의 파일을 실행시킬 수 있게 된다. 이에 이반티는 취약점 존재 유무를 확인할 수 있게 해 주는 도구를 개발해 발표했다. 패치는 5월에 나올 예정이라고 한다.
이번 익스플로잇 공격을 실시하는 해킹 그룹의 이름을 이반티는 직접 밝히지 않고 있다. 다만 이반티와 함께 조사 중에 있는 보안 업체 파이어아이(FireEye)는 보고서를 통해 공격자가 중국 정부와 관련이 있는 것으로 보인다고 주장했다. 또한 펄스 시큐어 서비스의 익스플로잇에 연루된 멀웨어 패밀리들은 총 12개라고 하는데, 이들은 과거 별개로 활용되기도 했었기 때문에 서로의 연관성이 짙다고 결론을 내리기 힘들다고 한다. 오히려 여러 조직들이 펄스 시큐어를 노리고 있다고 보는 게 자연스럽다는 게 파이어아이의 의견이다.
다만 여기서 주의해서 지켜봐야 할 조직이 하나 있는데, 바로 UNC2630이다. 파이어아이는 올해 초 국방과 금융 분야와 관련된 단체들을 노리는 사이버 공격을 조사한 바 있다. UNC2630의 소행이었다. 공격의 근원을 추적해 올라가다 보니 대부분 펄스 시큐어 VPN과 관련되어 있었음이 드러났다. 다만 공격자들이 VPN 서비스의 관리자 권한을 어떻게 탈취했는지는 아직도 분명하지 않다고 한다. 이반티는 위에서 언급된 취약점들을 통한 침투 가능성이 높다고 보고 있다.
UNC2630은 취약점 익스플로잇을 통해 펄스 시큐어 VPN에 안착한 뒤, 공격 지속성을 확보하고 다양한 악성 행위를 실시한 것으로 보인다. 트로이목마로 변경된 공유 객체들을 통해 로그인 크리덴셜을 확보했고, 이를 통해 다중인증 시스템도 뚫어냈다. 웹셸을 설치해 또 다른 침투 경로를 만들어 두기도 했다. 이번 공격에도 UNC2630이 참여했을 가능성이 매우 높아 보이지만, 파이어아이는 “아직 결론을 내리지는 않고 있다”고 말한다. “조금 더 정보를 수집해 보아야 확실히 알 수 있습니다.”
UNC2630의 공격 인프라와 도구, 악성 행위들은 파이어아이가 한 번도 보지 못한 특성을 보였다. 즉, 과거 수많은 공격 캠페인을 통해 모습을 드러낸 공격자들과 다른 새로운 단체가 출현한 것으로 의심된다는 것이다. 하지만 2014년과 2015년에 중국 해커 조직인 APT5가 진행한 일부 공격 캠페인과의 유사성이 어느 정도 발견되고 있기도 하다. 따라서 UNC2630의 배후에도 중국 정부가 있을 가능성이 높게 점쳐지고 있는 상황이다.
3줄 요약
1. 펄스 시큐어의 VPN 서비스를 통한 사이버 공격이 거세게 이어지는 상황.
2. CISA는 러시아의 SVR을, 파이어아이는 중국의 APT5 혹은 UNC2630을 의심하고 있음.
3. 여러 멀웨어가 발굴된 것으로 보아 다양한 해커들이 움직이고 있다고 보는 게 자연스러움.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
