VPN이 최근 사이버 공격자들에게 가장 뜨거운 분야다. 특히 펄스 시큐어의 제품들이 자주 공략 당하고 있다. 이를 틈타 중국의 해킹 단체들이 미국과 유럽의 주요 단체들을 노리고 공격에 들어갔다.
[보안뉴스 문가용 기자] 중국의 사이버 공격 단체들이 펄스 시큐어 VPN(Pulse Secure VPN) 장비의 취약점을 공략해 미국과 유럽 국가들의 국방, 정부, 운송, 금융 기관들을 적극 정찰한 사실이 드러났다. 보안 업체 파이어아이(FireEye)가 이러한 사실을 파악해 지난 주말 긴급하게 발표했다.
[이미지 = pixabay]
공격자들은 펄스 시큐어 VPN에서 발견된 취약점인 CVE-2021-22893을 주로 공략함으로써 피해자들의 네트워크에 침투한 것으로 추정된다. CVE-2021-22893은 지난 달에 패치된 인증 우회 취약점이다. 해커들이 먼저 익스플로잇 하고 나서야 발견되고 패치된 취약점이기도 하다. ‘추정’인 이유는, 다른 취약점들도 이번 캠페인에 같이 활용되었으며, 공격자들이 자신들의 흔적을 지우며 최초 침투 방식에 대한 증거도 사라졌기 때문이다.
파이어아이는 지난 달에도 같은 내용의 보안 보고서를 발표한 바 있다. 이번 주말 발표된 건 해당 취약점의 확장판에 해당한다. 공격자들로 추정되는 단체도 UNC2630과 UNC2717로 지난 달과 동일하다. UNC2630은 미국의 국방 산업에 집중하고 있고, UNC2717은 유럽의 여러 단체들을 공격 중에 있다고 파이어아이는 지난 달부터 경고하고 있다.
또한 파이어아이는 지난 달 이 두 공격 단체가 12개의 멀웨어 코드 패밀리들을 사용해 공격을 실시하고 있다고 했는데, 이번 달 보고서를 통해 4개의 멀웨어 패밀리를 추가했다. 추가된 멀웨어는 블러드마인(Bloodmine), 블러드뱅크(Bloodbank), 클린펄스(CleanPulse), 래피드펄스(RapidPulse)다. 지난 달 12개와 이번 달 4개, 총 16개의 멀웨어 모두 펄스 시큐어 VPN을 공략하기 위한 목적으로 만들어진 것으로 분석되고 있다.
파이어아이의 리버스 엔지니어링 전문가인 스티븐 엑켈즈(Stephen Eckels)는 “공격자들은 최근까지 패치가 진행되지 않은 시스템들을 공격하고 있다”며 “2019년에 나온 패치를 아직도 적용하지 않은 조직들이 있으니 이러한 공격이 성립하는 것”이라고 설명한다. “지금 시점에서는 패치되지 않은 취약점이 없습니다. 즉, 패치만 적용해도 얼마든지 중국 해커들의 공격을 막을 수 있다는 뜻입니다.”
한 번 침투에 성공한 공격자들은 다양한 방법을 동원하여 공격 지속성을 확보하고 횡적으로 움직였다. 윈도 서버에 공격자들만의 관리자급 계정을 생성하는 경우도 있었고, 펄스 시큐어 웹셸이나 다른 멀웨어를 심는 경우도 있었다. 권한이 높은 계정을 침해하기 위한 시도도 있었고, 해당 계정의 주인이 가지고 있는 다른 계정을 우회 접속하는 경우도 있었다.
파이어아이에 의하면 UNC2630과 UNC2727은 펄스 시큐어 VPN을 공략하는 수많은 해커들 중 극히 일부에 불과하다고 한다. 즉, 펄스 시큐어 VPN과 같은 VPN 장비와 솔루션을 노리는 공격자들이 현재 대단히 많다는 뜻이다. 그 중 이 둘은 중국 정부의 경제적 이득을 위해 활동하는 것으로 보인다고 한다. 둘 사이에 전략이나 도구가 공유되는 경우도 왕왕 있다.
최근 중국 공산당 정부는 14회차 5개년 계획을 발표한 바 있다. 이번 대규모 사이버 공격이 이 계획과 무관하지 않은 것으로 보인다. 피해가 발생한 분야가 대부분 중국이 전략적 주요 분야로 분류해 놓은 것과 겹치기 때문이다.
3줄 요약
1. 중국의 APT 공격자들, 펄스 시큐어 VPN 통해 미국과 유럽 단체들 집중 공략.
2. 이 움직임은 중국의 14회차 5개년 경제 발전 계획의 일환으로 보임.
3. 국방, 기술, 금융 분야의 지적 재산 등 경제 발전에 도움이 될 정보 노렸음.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 중국의 사이버 공격 단체들이 펄스 시큐어 VPN(Pulse Secure VPN) 장비의 취약점을 공략해 미국과 유럽 국가들의 국방, 정부, 운송, 금융 기관들을 적극 정찰한 사실이 드러났다. 보안 업체 파이어아이(FireEye)가 이러한 사실을 파악해 지난 주말 긴급하게 발표했다.
[이미지 = pixabay]
공격자들은 펄스 시큐어 VPN에서 발견된 취약점인 CVE-2021-22893을 주로 공략함으로써 피해자들의 네트워크에 침투한 것으로 추정된다. CVE-2021-22893은 지난 달에 패치된 인증 우회 취약점이다. 해커들이 먼저 익스플로잇 하고 나서야 발견되고 패치된 취약점이기도 하다. ‘추정’인 이유는, 다른 취약점들도 이번 캠페인에 같이 활용되었으며, 공격자들이 자신들의 흔적을 지우며 최초 침투 방식에 대한 증거도 사라졌기 때문이다.
파이어아이는 지난 달에도 같은 내용의 보안 보고서를 발표한 바 있다. 이번 주말 발표된 건 해당 취약점의 확장판에 해당한다. 공격자들로 추정되는 단체도 UNC2630과 UNC2717로 지난 달과 동일하다. UNC2630은 미국의 국방 산업에 집중하고 있고, UNC2717은 유럽의 여러 단체들을 공격 중에 있다고 파이어아이는 지난 달부터 경고하고 있다.
또한 파이어아이는 지난 달 이 두 공격 단체가 12개의 멀웨어 코드 패밀리들을 사용해 공격을 실시하고 있다고 했는데, 이번 달 보고서를 통해 4개의 멀웨어 패밀리를 추가했다. 추가된 멀웨어는 블러드마인(Bloodmine), 블러드뱅크(Bloodbank), 클린펄스(CleanPulse), 래피드펄스(RapidPulse)다. 지난 달 12개와 이번 달 4개, 총 16개의 멀웨어 모두 펄스 시큐어 VPN을 공략하기 위한 목적으로 만들어진 것으로 분석되고 있다.
파이어아이의 리버스 엔지니어링 전문가인 스티븐 엑켈즈(Stephen Eckels)는 “공격자들은 최근까지 패치가 진행되지 않은 시스템들을 공격하고 있다”며 “2019년에 나온 패치를 아직도 적용하지 않은 조직들이 있으니 이러한 공격이 성립하는 것”이라고 설명한다. “지금 시점에서는 패치되지 않은 취약점이 없습니다. 즉, 패치만 적용해도 얼마든지 중국 해커들의 공격을 막을 수 있다는 뜻입니다.”
한 번 침투에 성공한 공격자들은 다양한 방법을 동원하여 공격 지속성을 확보하고 횡적으로 움직였다. 윈도 서버에 공격자들만의 관리자급 계정을 생성하는 경우도 있었고, 펄스 시큐어 웹셸이나 다른 멀웨어를 심는 경우도 있었다. 권한이 높은 계정을 침해하기 위한 시도도 있었고, 해당 계정의 주인이 가지고 있는 다른 계정을 우회 접속하는 경우도 있었다.
파이어아이에 의하면 UNC2630과 UNC2727은 펄스 시큐어 VPN을 공략하는 수많은 해커들 중 극히 일부에 불과하다고 한다. 즉, 펄스 시큐어 VPN과 같은 VPN 장비와 솔루션을 노리는 공격자들이 현재 대단히 많다는 뜻이다. 그 중 이 둘은 중국 정부의 경제적 이득을 위해 활동하는 것으로 보인다고 한다. 둘 사이에 전략이나 도구가 공유되는 경우도 왕왕 있다.
최근 중국 공산당 정부는 14회차 5개년 계획을 발표한 바 있다. 이번 대규모 사이버 공격이 이 계획과 무관하지 않은 것으로 보인다. 피해가 발생한 분야가 대부분 중국이 전략적 주요 분야로 분류해 놓은 것과 겹치기 때문이다.
3줄 요약
1. 중국의 APT 공격자들, 펄스 시큐어 VPN 통해 미국과 유럽 단체들 집중 공략.
2. 이 움직임은 중국의 14회차 5개년 경제 발전 계획의 일환으로 보임.
3. 국방, 기술, 금융 분야의 지적 재산 등 경제 발전에 도움이 될 정보 노렸음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
