최근 Mandiant의 조사 결과,
중국 정부와 연관된 해커 그룹이 Juniper Networks의 라우터를 해킹해 맞춤형 백도어를 설치한 사실이 밝혀졌습니다. 😱
🔎 Juniper 네트워크 해킹 사건: 무엇이 문제인가?
Mandiant는 UNC3886이라는 중국 기반의 APT(Advanced Persistent Threat) 그룹이
지원이 종료된(EOL) Juniper MX 라우터를 대상으로 공격했다고 밝혔습니다.
이들은 보안 감시 툴이 거의 없는 네트워크 및 엣지 디바이스를 주요 타겟으로 삼았습니다.
Mandiant의 CTO, Charles Carmakal은 "현재까지 확인된 피해자는 10곳 이하지만,
더 많은 조직이 이번 공격의 영향을 받았을 가능성이 크다"라고 전했습니다. 🚨
🌐 피해 대상: 어떤 조직이 위험할까?
Mandiant의 조사에 따르면, ISP(인터넷 서비스 제공업체) 및 통신사가 주요 타겟일 가능성이 큽니다.
Juniper MX 시리즈 라우터는 대부분 인터넷 및 클라우드 제공업체가 사용하며,
최근 중국 해커들의 공격 방식이 네트워크 엣지 장비뿐만 아니라 내부 네트워크 인프라까지 확장되고 있는 것으로 나타났습니다.
비슷한 사례:
- 중국의 Salt Typhoon 해커 그룹이 지난해 미국 통신 회사를 해킹
- Volt Typhoon 그룹이 미국의 주요 인프라 공격
하지만 Mandiant는 이번 UNC3886의 공격이 위 두 그룹과 직접적인 연관은 없다고 밝혔습니다.
Juniper 라우터는 어떻게 해킹당했을까?
UNC3886은 먼저 터미널 서버(Terminal Server) 를 해킹하여 라우터에 접근했습니다.
터미널 서버는 네트워크 장비를 원격으로 관리하는 데 사용되는 장비로,
이들은 정상적인 계정을 이용해 로그인한 후, Junos OS를 해킹하는 방식으로 공격을 진행했습니다.
🚒 해킹 프로세스
- 터미널 서버 해킹 → 정당한 계정을 이용해 접근
- Junos OS로 이동 → 내부 시스템으로 침투
- TACACS+ 인증 서비스 공격 → 보안 시스템을 우회하기 위해 백도어 설치
- Veriexec 우회 → Junos OS의 보안 시스템을 무력화하여 악성코드를 실행
- TinyShell 백도어 설치 → 공격자와 지속적으로 연결을 유지하며 로그 삭제 기능 수행
🚩 특히, UNC3886은 Junos OS의 보안 기능 중 하나인 Veriexec(커널 기반 무결성 검사 시스템)을 우회하여
악성코드를 정식 프로세스처럼 실행하는 데 성공했습니다.
🌐 취약한 Juniper OS 버전 (EOL 라우터)
Mandiant 연구진은 공격 대상이 된 라우터들이 지원이 종료된(EOL) 버전을 실행하고 있었음을 확인했습니다.
취약한 Junos OS 버전:
- 21.2R3-S9 이전 버전
- 21.4R3-S10 이전 버전
- 22.2R3-S6 이전 버전
- 22.4R3-S6 이전 버전
- 23.2R2-S3 이전 버전
- 23.4R2-S4 이전 버전
- 24.2R1-S2 및 24.2R2 이전 버전
🛡️ 해결 방법: Juniper는 3월 12일 보안 패치(CVE-2025-21590)를 포함한 보안 권고문을 발표했습니다.
해당 취약점은 Junos OS 커널의 "격리 및 분리 불량" 문제로, 공격자가 관리자 권한을 탈취하는 것이 가능했습니다.
🔍 'TinyShell' 백도어, 어떻게 동작할까?
UNC3886 해커들은 라우터를 장악한 후, TinyShell이라는 백도어를 설치했습니다.
이 백도어는 다음과 같은 특징을 가집니다.
🔥 TinyShell 백도어의 기능:
- C2(Command and Control) 서버와 통신하여 원격 명령 실행
- 로그 삭제 기능으로 보안 감지 우회
- 패시브 및 액티브 모드 동시 지원 (공격자가 접속하지 않더라도 활동 가능)
- 악성코드를 메모리에 주입하여 흔적을 최소화
Mandiant는 "네트워크 장비를 해킹하는 것은 장기적인 정보 수집 및 스파이 활동을 가능하게 하며,
향후 더 위험한 공격으로 발전할 수도 있다"고 경고했습니다.
🚨 Juniper 라우터 보안 강화를 위한 조치
🏢 기업과 조직이 해야 할 보안 조치:
- 최신 OS 및 보안 패치 적용 – 지원이 종료된 EOL 장비는 교체 필요!
- JMRT(Juniper Malware Removal Tool) 사용 – 악성코드 검사 및 무결성 체크
- MFA(다중 인증) 적용 – 계정 도용 방지
- 네트워크 모니터링 강화 – 이상 트래픽 감지 및 차단
- 장비의 보안 설정 확인 – TACACS+ 및 기타 인증 시스템의 무결성 점검
'CyberSecurity > Security🔐' 카테고리의 다른 글
| 🚨 Microsoft, 6개의 제로데이 포함 57개 보안 취약점 패치 발표! 🔥🛡️ (0) | 2025.03.13 |
|---|---|
| 🚨 Apple, 3개월 만에 또 긴급 패치! WebKit 제로데이 취약점 CVE-2025-24201 발견 🍏💀 (1) | 2025.03.13 |
| 🏭 SCADA 시스템, 왜 최신 업데이트가 어려울까? (0) | 2025.03.12 |
| 🚨 ICONICS SCADA 소프트웨어에서 발견된 5개의 심각한 취약점 (0) | 2025.03.11 |
| 🚨 NTLMv2 해시 유출 취약점(CVE-2024-43451)이란? (쉽게 알아보는 보안 이야기) (1) | 2025.03.11 |