사이버 공격으로 미국에서 600,000개의 라우터가 파괴됨

정체불명의 해킹 그룹이 2023년 미국의 한 통신 회사에 대규모 사이버 공격을 감행하여 600,000개 이상의 인터넷 라우터를 비활성화한 것으로 보고되고 있습니다.

Lumen Technologies의 Black Lotus Labs에서 발표한 새로운 보고서에 따르면, 최근 몇 달 동안 발견된 이 신비로운 공격은 2023년 10월 말에 발생했습니다.

단일 인터넷 서비스 제공업체(ISP)에 속하는 600,000개 이상의 소규모 사무실/홈 오피스(SOHO) 라우터가 오프라인 상태가 되었습니다.

보고서에 따르면, 이 사건은 2023년 10월 25일부터 27일 사이의 72시간 동안 여러 미국 주에서 발생했습니다. 이 공격은 ISP에서 발급한 세 가지 라우터 모델에 영향을 미쳤습니다: ActionTec T3200, ActionTec T3260, Sagemcom F5380.

Lumen Technologies의 Black Lotus Labs 팀이 “Pumpkin Eclipse”라는 코드명으로 명명한 이 신비로운 사건은 감염된 장치를 영구적으로 작동 불능 상태로 만들었으며 하드웨어 기반의 교체가 필요했습니다.

이 기간 동안, 영향을 받은 ISP의 자율 시스템 번호(ASN)에서 모든 모뎀의 49%가 갑자기 제거되었습니다.

“ActionTec의 두 모델에 대해 [취약점 경고 플랫폼] OpenCVE에서 이러한 모델에 영향을 미치는 익스플로잇을 검색했지만, 두 모델에 대한 목록은 없었습니다. 이는 위협 행위자가 약한 자격 증명을 남용했거나 노출된 관리 인터페이스를 악용했을 가능성을 시사합니다.”라고 Black Lotus 연구원들이 블로그 게시물에서 말했습니다.

Black Lotus Labs는 영향을 받은 ISP의 이름을 밝히지 않았지만, 그들이 보고한 세부 사항은 아칸소에 본사를 둔 ISP 제공업체 Windstream과 일치하며, 이 업체는 같은 시기에 정전 사태를 겪었습니다. 2023년 10월 25일부터 Windstream 가입자들은 Reddit에서 그들의 라우터가 “정적 빨간 불빛”을 표시하고 있다고 보고하기 시작했습니다.

원격 수리가 불가능했기 때문에 Windstream 고객들은 인터넷 접근을 복원하기 위해 비활성화된 라우터를 새 장치로 교환하기 위해 반납하라는 요청을 받았습니다. 대략 600,000개로 추정되는 라우터는 정체불명의 위협 행위자에 의해 오프라인 상태가 되었습니다.

이제 몇 달 후, Lumen의 분석은 2018년 10월 Sophos에 의해 처음 문서화된 상용 원격 접근 트로이 목마(RAT) “Chalubo”를 위 사건의 주요 페이로드로 확인했습니다. 이 악성코드는 라우터의 운영 코드 요소를 삭제하고 사실상 작동 불능 상태로 만들었습니다.

Chalubo에 내장된 기능 덕분에 위협 행위자는 감염된 장치에서 Lua 스크립트 기능을 실행할 수 있었습니다. 연구원들은 다운로드된 악성코드가 라우터 펌웨어를 영구적으로 덮어쓰는 코드를 실행했을 것이라고 믿고 있습니다.

Lumen은 공격의 배후에 있는 사람이나 모든 영향을 받은 고객에게 펌웨어 업데이트가 어떻게 전송되었는지—알 수 없는 취약점, 약한 자격 증명 또는 노출된 관리 인터페이스에 대한 접근을 통해—에 대한 세부 정보를 제공하지 않았습니다.

연구원들에 따르면, 공격의 잠재적 결과는 심각할 수 있습니다.

“우리는 악성 펌웨어 업데이트가 정전 사태를 유발하기 위한 의도적인 행위였다고 높은 확신을 가지고 평가합니다. 이러한 유형의 파괴적인 공격은 매우 우려스럽습니다. 특히 이번 경우는 더욱 그렇습니다.

이 ISP의 서비스 지역의 상당 부분은 농촌 또는 서비스가 부족한 지역을 포함하고 있으며, 이곳의 주민들은 응급 서비스에 대한 접근을 잃었을 수 있고, 농업 관련 문제는 수확 중 원격 모니터링으로부터 중요한 정보를 잃었을 수 있으며, 의료 제공자는 원격 의료 또는 환자 기록에 접근할 수 없게 되었습니다.”라고 Lumen 연구원들이 보고서에서 말했습니다.

Black Lotus Labs는 파괴적인 모듈을 복구할 수 없었지만, 향후 공격을 방지하기 위해 활동을 모니터링하고 있습니다.

SOHO 라우터를 관리하는 조직은 일반적인 기본 비밀번호에 의존하지 말 것을 권장하며, SOHO 라우터를 사용하는 고객은 정기적으로 라우터를 재부팅하고 보안 업데이트 및 패치를 설치할 것을 권장합니다.