러시아 군사정보부, 소비자 라우터 수만 대 해킹
원제: Thousands of consumer routers hacked by Russia's military
왜 중요한가
국가급 해킹그룹의 IoT 기기 대상 공격이 확산되고 있어 가정·기업의 네트워크 보안 강화가 시급함을 보여준다.
러시아 군사정보부 소속 해킹그룹 APT28이 120개국에 있는 MikroTik, TP-Link 등 가정·소규모 사무실 라우터 1만8000~4만 대를 해킹해 DNS 설정을 조작, 사용자 인증정보를 탈취했다고 Lumen Technologies가 발표했다.
러시아 군사정보부(GRU) 산하 해킹그룹 APT28이 전 세계 120개국의 소비자 라우터를 대규모로 해킹해 스파이 활동에 활용하고 있다고 Lumen Technologies의 Black Lotus Labs가 발표했다. 해킹된 라우터는 주로 MikroTik과 TP-Link 제품으로 추정 1만8000~4만 대에 달한다. APT28은 20년 이상 활동해온 고도화된 위협그룹으로 Pawn Storm, Forest Blizzard 등으로도 알려져 있다. 공격자들은 보안패치가 적용되지 않은 구형 라우터의 취약점을 악용해 침투한 후, Microsoft 365 서비스 도메인 등 특정 웹사이트에 대한 DNS 설정을 변경했다. 사용자가 해당 사이트 접속 시 악성 서버를 경유하도록 조작해 OAuth 토큰 등 인증정보를 탈취했다. 이 작전은 2025년 5월 소규모로 시작되어 영국 국가사이버보안센터가 경고를 발령한 8월부터 급격히 확대되었다. 12월 12일부터 4주간 29만 개 이상의 IP 주소에서 악성 DNS 요청이 관측되었다.