FBI가 전세계 네트워크 장비에 원격으로 액세스하여 러시아의 악성코드를 삭제

IT 2022. 4. 8. 14:48
by Markus Spiske


미국 연방수사국(FBI)이 러시아의 악성코드에 감염된 ASUS와 WatchGuard의 네트워크 기기에 리모트 액세스로 악성코드를 삭제한 사실을 발표했습니다. FBI는 삭제만으로는 부족하다며 설비의 관리자에게 적절한 대응을 요청했습니다.

Justice Department Announces Court-Authorized Disruption of Botnet Controlled by the Russian Federation’s Main Intelligence Directorate (GRU) | OPA | Department of Justice
https://www.justice.gov/opa/pr/justice-department-announces-court-authorized-disruption-botnet-controlled-russian-federation

Justice Department Announces Court-Authorized Disruption of Botnet Controlled by the Russian Federation’s Main Intelligence Di

Operation Copied and Removed Malware Known as “Cyclops Blink” from the Botnet’s Command-And-Control Devices, Disrupting the GRU’s Control Over Thousands of Infected Devices Worldwide. Victims Must Take Additional Steps to Remediate the Vulnerabilit

www.justice.gov


Companies were slow to remove Russian spies’ malware, so FBI did it for them | Ars Technica
https://arstechnica.com/information-technology/2022/04/fbi-accesses-us-servers-to-dismantle-botnet-malware-installed-by-russian-spies/

Companies were slow to remove Russian spies’ malware, so FBI did it for them

How the FBI took down "Cyclops Blink," a Russia state botnet infecting network firewalls.

arstechnica.com


이번 FBI가 삭제한 것은 러시아연방군 참모본부정보총국(GRU)의 기술팀에 속한다고 추정되는 해커그룹 샌드웜이 사용하는 봇넷 악성코드 'Cyclops Blink'입니다. 이 Cyclops Blink의 존재가 확인된 시기는 2019년 6월경으로 2022년 2월에는 전세계에서 사용되고 있는 WatchGuard의 방화벽 어플라이언스의 약 1%에 영향을 주고 있는 것으로 보고되었습니다.

New Sandworm malware Cyclops Blink replaces VPNFilter - NCSC.GOV.UK
https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter

New Sandworm malware Cyclops Blink replaces VPNFilter

The Sandworm actor has replaced the exposed VPNFilter malware with a new more advanced framework.

www.ncsc.gov.uk


Important Detection and Remediation Actions for Cyclops Blink State-Sponsored Botnet | WatchGuard Technologies
https://www.watchguard.com/wgrd-news/blog/important-detection-and-remediation-actions-cyclops-blink-state-sponsored-botnet

Important Detection and Remediation Actions for Cyclops Blink State-Sponsored Botnet | WatchGuard Technologies

Working closely with the FBI, CISA, DOJ, and UK NCSC1, WatchGuard has investigated and developed a remediation for Cyclops Blink, a sophisticated state-sponsored botnet, that may have affected a limited number of WatchGuard firewall appliances. WatchGuard

www.watchguard.com


상기의 보고를 받아 WatchGuard는 FBI 등의 수사기관과 제휴해 Cyclops Blink의 검출 및 삭제 방법을 공개했고 판매하는 네트워크 기기가 Cyclops Blink의 영향을 받는 것으로 밝혀진 ASUS도 WatchGuard와 마찬가지로 대응방법을 공개했습니다.

FBI에 따르면 WatchGuard와 ASUS의 대응방법 공개로 수천 대의 디바이스에서 Cyclops Blink가 제거되었지만 2022년 3월 시점에서 대부분의 디바이스는 Cyclops Blink에 감염된 상태였다고 합니다. 따라서 FBI는 법원의 승인을 받아 Cyclops Blink에 감염된 전 세계 수천 대의 네트워크 장비에 원격으로 액세스하여 Cyclops Blink를 삭제했습니다.

by Mika Baumeister


FBI는 “이번 작전에서는 자동 스크립트로 장치의 일련번호 수집과 악성코드 삭제'를 실시했습니다. 그러나 기술 관련 미디어의 Ars Technica는 "FBI가 서버에 원격으로 액세스하여 어떤 조작을 한다는 것은 조작 실수로 인한 심각한 손해나 프라이버시 침해로 이어질 우려도 존재한다"고 지적했습니다.

이러한 우려에 대해 미국국가안보국(NSA)의 전 직원이면서 현재는 보안기업 SCYTHE의 디렉터인 제이크 윌리엄스는 “저는 법 집행기관이 관리하에 없는 서버에 액세스하고 수정을 수행하는 것은 위험하다고 생각하지만, 이번 사례에서는 장점이 위험을 분명히 능가했다”고 평가했습니다.


덧붙여 FBI는 WatchGuard와 ASUS가 공개한 대응책을 실시하지 않는 한 공격에 취약한 상태가 계속된다며 네트워크 기기의 관리자에게 대책을 실시하도록 요구했습니다.

'IT' 카테고리의 다른 글

테라바이트를 훨씬 웃도는 '요타바이트'의 크기  (0) 2022.05.22
타인이라도 원터치로 마음대로 테슬라 전기차의 문을 열어버리는 문제가 보고되다...실연영상도 공개  (0) 2022.05.18
음악파일에 적용된 전자 워터마크가 노이즈를 유발  (0) 2022.05.06
1년 전 30여억 원에 낙찰된 '세계 최초의 트윗' NFT의 입찰액은 1000만 원 이하  (0) 2022.04.14
Apple이 오리지널 영화의 DVD 디스크를 작성하는 이유  (0) 2022.03.29
Unity가 최신 게임엔진의 데모영상을 공개...실사를 초월한 CG  (0) 2022.03.23
해커가 iPhone 사용자를 대상으로 악성 앱을 설치하도록 유도한 수법  (0) 2022.03.18
일론 머스크의 지시로 위성 인터넷 'Starlink'가 우크라이나에서 이용 가능해져  (0) 2022.02.28
Posted by 말총머리
,

티스토리툴바