러시아 해커가 러시아의 우크라이나 침공을 돕기 위해 다양한 정부 및 공공 기관을 공격하고 침투하면서 사이버 전쟁이 계속되고 있습니다. 러시아가 우크라이나에 대한 공격을 시작한 지 한 달이 넘었지만 상황은 거의 동일하게 유지되었습니다.
전쟁은 온라인에서도 진행되고 있으며 국가 후원을 받는 러시아 해커의 네트 캐스트는 나날이 커지고 있습니다. 기밀 정보를 훔치기 위해 시스템에 침입하려고 시도하든 그보다 더 나쁜 것을 시도하든 사이버 전선에는 많은 표적이 있습니다. 러시아 봇넷 Cyclops Blink의 출현은 최근 사이버 보안 소프트웨어 회사인 Trend Micro의 보고서에서 확인되었습니다. 이것은 그러한 활동이 어떻게 점점 보편화되었는지를 보여주는 가장 최근의 예일 뿐입니다.
사이클롭스 블링크란?
Trend Micro의 보고서에 따르면 Cyclops Blink로 알려진 “국가 후원 봇넷”은 최소 2019년부터 운영되어 왔으며 Sandworm 또는 Voodoo Bear라는 그룹에 연결되어 있습니다. 이 단체는 2015년 우크라이나의 전력 기반 시설에 대한 공격과 그루지야 공화국 및 2018년 올림픽 중단과 관련이 있습니다. Firebox 네트워크 보안 하드웨어는 Cyclops Blink를 사용하는 Voodoo Bear의 표적으로 보입니다. 이것이 WatchGuard의 Asus 라우터와 장치가 공격을 받는 이유입니다. 보고서는 봇넷이 “중요한 조직이나 경제, 정치 또는 군사 스파이 활동에서 명백한 가치가 있는 조직”을 목표로 하지 않는다고 주장합니다.
러시아 해커의 최종 목표는 무엇입니까?
그러나 이것은 “해가 없음, 반칙 없음”이 아닙니다. 이 보고서는 보안 전문가들이 Cyclops Blink를 사용한 러시아 해커의 주요 목표가 고가치 표적에 대한 향후 공격의 기반을 구축하는 것이라고 믿고 있다고 주장합니다. 기본적으로 Cyclops Blink는 라우터를 감염시키고 이를 사용하여 데이터를 훔치거나 다른 목표에 대한 공격을 시작하도록 만들어졌습니다. 업데이트 빈도가 낮고 보안 수준이 낮거나 보안이 없기 때문에 악용하기가 더 쉬울 수 있으므로 특정 군사적 또는 정치적 연결이 없는 Asus 라우터는 더 쉽게 손상될 수 있습니다. 해킹된 장치는 명령 및 제어 서버에 대한 원격 액세스 지점을 설정하는 데 사용됩니다. 가장 엄밀히 말하면, 명백한 지능 가치가 없는 장치의 무작위로 보이는 압수는 이것이 앞으로 오고 있는 더 큰 무언가에 대한 준비임을 나타낼 수 있습니다. 이것은 기계가 영구적으로 연결되는 “영원한 봇넷”이라는 무서운 개념을 만듭니다.
Asus는 공격에 대한 통지를 받았고 3월 17일 제품 보안 권고 페이지의 성명에서 Cyclops Blink를 조사하고 수정 조치를 취하고 있다고 밝혔습니다. 네트워크 소유자가 보호를 강화하는 데 사용할 수 있는 보안 체크리스트와 영향을 받는 모든 장치의 목록을 제공했습니다. Cyclops Blink는 매우 위험하므로 공장 초기화로도 충분하지 않으므로 감염이 의심되는 사용자는 라우터를 교체하는 것이 좋습니다.