구글 클라우드, 주니퍼네트웍스 공격 배후로 中 해킹 그룹 지목

[아이티데일리] 2024년 중순경 네트워크 솔루션 전문기업 주니퍼네트웍스(Juniper Networks)에서 발생한 멀웨어(Malware) 사고의 배후로 중국 해킹 그룹이 지목됐다. 이들은 지원 종료된 제품을 악용해 백도어(Backdoor)를 배포한 것으로 확인됐다.

구글 클라우드 맨디언트는 14일 지난해 발생한 주니퍼네트웍스 멀웨어 사고에 대한 조사 결과를 발표했다.

맨디언트는 위협 행위자가 주니퍼네트웍스의 주노스 운영체제(Junos OS)에서 작동하는 맞춤형 백도어를 배포한 사실을 포착했다. 이 공격을 일으킨 조직은 중국 연계 사이버 스파이 그룹 ‘UNC3886’으로 밝혀졌다.

UNC3886은 소프트웨어(SW) 취약점을 노리는 ‘제로데이 익스플로잇(Zero-day Exploits)’을 통해 네트워크 장치와 가상화 기술을 표적으로 삼았다. 이들은 주로 미국과 아시아 지역의 국방, 기술 및 통신 기업을 집중적으로 공격하고 있다.

지난 수 개월간 맨디언트와 주니퍼네트웍스가 합동 조사한 결과, UNC3886은 지원 종료(End of Life, EOL)된 주니퍼 MX 라우터의 하드웨어(HW)와 SW를 통해 공격을 자행했다. MX 라우터에서는 6가지 변종 멀웨어가 발견됐다. 이는 타이니셸(TINYSHELL) 백도어를 변형한 버전으로, 라우터에 접근해 오랜 기간 탐지를 피할 수 있도록 제작됐다.

멀웨어에는 표적 장비의 로깅 메커니즘을 비활성화함으로써 보안 모니터링 시스템을 차단하는 임베디드 스크립트 등 다양한 맞춤형 기능도 포함돼 있었다.

주노스 OS 특성상 멀웨어 실행을 위해선 먼저 보안 매커니즘 ‘Veriexec’를 우회해야 한다. 위협 행위자가 이를 비활성화할 시 경고 알림이 작동하는데, 신뢰할 수 없는 코드가 신뢰할 수 있는 프로세스에서 발생할 경우에는 악성코드가 실행될 수 있었다.

맨디언트는 조사를 통해 UNC3886이 ‘프로세스 인젝션(Process Injection)’을 통해 합법적인 프로세스의 메모리에 악성코드를 주입한 것을 확인했다. 프로세스 인젝션은 Veriexec이 활성화된 상태에서 임패드(Impad) 백도어를 실행하는 데 쓰였다. 다만 손상된 라우터에서 다른 백도어 실행은 지원하지 않았다.

맨디언트 측은 “UNC3886이 과거 네트워크 에지 디바이스 공격에 집중했으나, 이번 공격은 이들이 인터넷 서비스 제공업체(ISP)의 라우터와 같은 내부 네트워킹 인프라도 표적으로 삼고 있음을 방증한다”며 “이러한 공격이 성공한다면 상당한 영향을 미칠 수 있다”고 설명했다.

맨디언트와 주니퍼네트워스는 네트워크 디바이스 업데이트의 중요성을 강조했다. 또 네트워크 디바이스를 관리하는 데 다중 인증(MFA) 시스템과 세분화된 역할 기반 접근 제어(RBAC)를 도입하고, 고위험 관리 활동을 식별할 수 있는 모니터링 솔루션을 구현할 것을 권고했다.