Ballista 봇넷이 확장되면서 아직도 6,000대 이상의 라우터가 취약한 상태입니다.

새롭게 발견된 보트넷인 ‘발리스타’가 TP-Link Archer 라우터를 대상으로 활동하고 있으며, 이미 알려진 보안 결함을 악용하여 인터넷에 퍼져나가고 있다는 사실이 Cato Networks의 사이버 보안 연구자들에 의해 밝혀졌습니다.

이봇넷은 펌웨어의 취약점을 이용하는데, 이 취약점은 CVE-2023-1389로 추적됩니다. 이 취약점을 통해 공격자들은 패치되지 않은 TP-Link 라우터에 원격으로 접근할 수 있습니다.

미국 사이버 보안 및 인프라 보안국(CISA)은 이미 이 결함을 지적하며, 기관들이 자신들의 장비를 패치하도록 촉구했습니다. 그럼에도 불구하고, 사이버 보안 플랫폼 Censys에서의 검색에 따르면 6,000대 이상의 취약한 라우터가 여전히 온라인에 남아 있습니다.

카토 네트워크는 1월 10일에 처음으로 발리스타 캠페인을 감지했으며, 여러 침투 시도를 확인했습니다. 가장 최근에 기록된 시도는 2월 17일에 이루어졌습니다.

이 봇넷의 악성 코드는 공격자가 침해된 장치에서 명령을 실행할 수 있게 해, 이를 만든 사람이(이탈리아에 위치해 있다고 추정되고 있음) 일반적인 봇넷 작업을 넘어서는 더 큰 목표를 가지고 있을 수 있다는 우려를 불러일으킵니다.

“우리는 이 캠페인을 초기 단계에서 잡아낸 것으로 의심됩니다.”라고 카토 네트워크의 위협 방지 팀 리더인 마탄 미틀맨이 The Record에 보도됨에 따라 말했습니다. “우리는 그것이 진화하는 것을 보았습니다. 짧은 시간 안에 위협 행위자는 초기의 드로퍼를 변경하여 Tor 네트워크를 통해 C2 서버에 보다 은밀하게 연결할 수 있게 했습니다.”라고 그는 덧붙였습니다.

Ballista는 이미 미국, 호주, 중국, 멕시코의 제조, 헬스케어, 기술, 서비스 등 다양한 분야의 기관들을 표적으로 삼았습니다. 이 악성 소프트웨어는 감염된 라우터를 완전히 장악하고, 그들의 구성 파일을 읽은 후, 다른 기기로 퍼져나갑니다.

Cato의 보안 팀은 또한 이 봇넷이 데이터 도둑질을 할 수 있음을 보여주는 증거를 발견하였습니다. 해커와 연결된 원래의 IP 주소는 더 이상 활성화되어 있지 않지만, 연구원들은 GitHub에서 악성 소프트웨어의 업데이트된 버전을 발견하였습니다. 이는 공격 캠페인이 계속 발전하고 있다는 것을 나타냅니다.

카토 연구원들은 이 캠페인이 점점 더 정교해지는 것으로 보인다고 지적했습니다. 이 악성 소프트웨어는 다른 보트넷들과 몇 가지 특성을 공유하고 있지만, Mirai나 Mozi와 같이 잘 알려진 것들과는 별개입니다.

해커들이 인터넷 라우터를 지속적으로 공격하는 것은 새로운 일이 아닙니다. 전문가들은 라우터와 같은 IoT 장치들이 약한 비밀번호, 불량한 유지 관리, 자동 보안 업데이트의 부재 등으로 주요 타겟이 되기 쉽다고 말합니다.

미틀맨은 수년 동안 Mirai와 Mozi와 같은 주요 IoT 봇넷들이 라우터가 얼마나 쉽게 악용될 수 있는지를 보여주었으며, 위협 요인들이 이를 이용하였다고 설명했습니다.

그는 이 문제에 기여한 두 가지 주요 요인을 강조했습니다: 사용자들이 종종 자신의 라우터의 펌웨어를 업데이트하는 것을 무시하고, 라우터 제조사들이 일반적으로 보안을 우선 순위에 두지 않는다는 점입니다.

TP-Link 라우터는 계속되는 보안 문제로 거론되어 왔습니다. 월스트리트저널은 최근에 미국 기관들이 중국 해커들에 의한 반복적인 악용 때문에 이들을 금지하는 것을 고려하고 있다고 보도했습니다.