중국 해커들, 미국 인터넷 제공업체를 표적으로 삼다.

Lumen Black Lotus Labs의 연구원들은 중국 정부와 연결된 해커들이 네트워킹 소프트웨어의 취약점을 이용해 미국의 인터넷 서비스 공급자(ISP)를 대상으로 공격했다고 밝혔습니다.

화요일에 공유된 보고서에 따르면, 연구팀은 악의적인 행위자들이 이전에 인식되지 않았던 제로데이 취약점을 이용해 Versa Director 서버를 공격했다고 발견했습니다. Versa Director는 Versa Networks에서 전국의 여러 ISP에 제공하는 서비스입니다.

이제 CVE-2024-39717로 확인된 취약점은 8월 22일에 공개적으로 발표되었고, 새로운 보안 업데이트가 시작되었습니다. Versa Director 버전이 22.1.4보다 더 오래된 경우 위험할 수 있습니다.

연구 결과에 따르면, 전문가들은 이 공격을 중국 정부가 후원하는 두 가지 알려진 위협 행위자인 Volt Typhoon과 Bronze Silhouette에게 돌리고 있습니다.

TechCrunch에 따르면 Volt Typhoon은 “핵심 인프라를 표적으로 삼는 것”에 중점을 두고 있으며, 그들의 임무는 “현실 세계에서의 피해”를 입히는 것입니다. 이 조직은 미국 군대의 작동을 방해하고자 합니다.

연구자들은 맞춤형 웹 쉘을 발견했고, 이것은 모듈식 특성을 가지고 있으며, 그들이 “VersaMem”이라고 부른 취약점과 연결되어 있습니다. 이것은 “인증된 사용자로서 하류 고객의 네트워크에 접근할 수 있도록 자격 증명을 가로채고 수확하는 데” 사용됩니다.

조사 결과에 따르면 피해를 입은 장치들은 소규모 사무실이나 가정용 사무실에 위치해 있었습니다. Black Lotus Labs는 6월에 미국 내 4명의 피해자와 미국 외 1명의 피해자를 확인했습니다. 악의적인 행위자들이 관리자 접근 권한을 얻어 VersaMem 웹 쉘을 배포하고 이용할 수 있었습니다.

해커들은 이후에 Versa Network와 연결된 다른 네트워크에 접근하려고 시도했습니다. “이것은 통신사에만 국한되지 않았고, 관리 서비스 제공자와 인터넷 서비스 제공자도 포함되었습니다.”라고 TechCrunch에게 보안 연구원인 Mike Horka가 말했습니다. “그들이 공격할 수 있는 이런 중추적인 위치들, 그리고 이를 통해 추가적인 접근을 얻을 수 있는 곳들을 말이죠.”

블랙 로터스 랩스와 미국 정부의 사이버보안 및 인프라 보안 기관(CISA)은 조직들이 그들의 서비스를 업데이트하고, 악의적인 활동을 찾아내고, 그 어떤 발견이든 보고하도록 권장합니다.