러시아 정부 산하 해커 조직 샌드웜(Sandworm)이 세계 각지의 가정과 소규모 사무실 네트워크 기기를 겨냥한 멀웨어 공격을 개시했다. 해커 세력은 이번 공격에 멀웨어 사이클롭스 블링크(Cyclops Blink)를 동원했다.
미국 온라인 테크 매체 Ars테크니카는 사이클롭스 블링크가 2018년, 가정 및 소규모 사무실용 라우터 약 50만 대에 악성 공격 피해를 준 멀웨어 VPN필터(VPNFilter)를 변형한 멀웨어라고 설명했다.
VPN필터에는 해커가 트래픽을 탈취하거나 조작해, 산업 제어 시스템에 사용하는 SCADA 프로토콜 일부를 감시하는 데 악용하는 스위스 아미 나이프(Swiss Army knife)가 포함되었으며, 당시 미국 법무부 조사 결과 러시아 GRU가 VPN필터 공격의 배후임을 확인했다.
사이클롭스 블링크도 VPN필터와 마찬가지로 전문 개발 펌웨어에 개입하지만, 이전보다 더 교묘하며 공격 감지 우회 능력이 뛰어나다. 사이클롭스 블링크는 기기에 저장된 펌웨어 이미지를 복사해, 멀웨어를 포함하도록 변경한다. 이후 이미지의 정통성을 암호학으로 입증하는 HMAC 값을 조작하고는 기기를 실행한다.
사이클롭스 블링크에는 C2 통신에 사용할 수 있는 RSA 공용 키와 RSA 프라이빗 키, X.509 인증서 등이 포함됐다. 공격 과정에는 오픈SSL(OpenSSL) 암호 라이브러리를 악용해 통신을 암호화한다.
한편, 워치가드 관계자는 사이클롭스 블링크가 지금까지 네트워크 공급사 워치가드(WatchGuard)의 방화벽 장비 1%를 감염시켰다고 발표했다.
또한, 공식 홈페이지 FAQ 페이지를 통해 “사이클롭스 블링크 때문에 발생한 피해는 2021년 5월 자로 배포된 소프트웨어 업데이트를 통해 완전히 해결한 문제이다. 그러나 맨디언트와의 조사 과정에서 지금까지 새로운 취약점은 발견되지 않았다”라고 설명했다.
현재 사이클롭스 블링크를 이용한 공격 발견 이후 사이버 보안 기업 맨디언트(Mandiant)와 함께 사이버 공격 조사에 착수했으며, 법률 집행 기관과도 관련 사건 확인에 협조하고 있다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
