지난 2023년 5월 덴마크의 에너지 부문을 겨냥한 사이버 공격의 최초 배후에 의문이 제기된 가운데, 최근 사이버 보안에 관한 연구 결과가 발표되었다.
덴마크의 22개 에너지 기관에 대한 사이버 공격은, 처음엔 러시아와 연계된 샌드웜 해킹 그룹의 소행으로 추정되었다. 하지만 포어스카우트의 인사이트는 더 복잡하고 미묘한 시나리오를 제시하며 관련 위협 행위자의 실제 정체에 대한 의문을 제기했다.
포어스카우트 분석에 따르면, 사이버 침입은 각각 다른 전술을 사용하는 두 가지 방향으로 전개되었다. 5월 11일에 발생한 첫 번째 공격은 자이젤(Zyxel) 방화벽의 보안 결함(CVE-2023-28771)을 악용했다. 5월 22일부터 31일까지 발생한 두 번째 공격은 미공개 초기 액세스 벡터를 통해 미라이 봇넷 변종을 배포하는 전략의 변화를 보여주었다.
초기 평가와는 달리, 포어스카우트의 심층 분석 결과 두 공격은 서로 관련이 없으며 러시아와 연계된 샌드웜 그룹의 소행이 아닐 가능성이 높다는 사실이 밝혀졌다. 특히 주목할 만한 점은 두 번째 공격이 패치되지 않은 자이젤 방화벽을 겨냥한 광범위한 대량 익스플로잇 캠페인의 일부였다는 점으로, 국가가 후원하는 공격의 성격에 의문이 제기되고 있다.
광범위한 대량 익스플로잇 캠페인으로 확인된 두 번째 공격은 자이젤 방화벽을 무차별적 표적으로 삼는 독특한 수법을 보였다. 포어스카우트의 조사 결과, 공격이 이미 2월 16일에 시작되었을 수 있다는 증거가 발견되었으며, 이 공격은 CVE-2023-28771과 함께 자이젤 디바이스의 알려진 취약점(CVE-2020-9054 및 CVE-2022-30525)을 악용한 것으로 추정된다. 이 캠페인은 2023년 10월까지 지속되어 장기간에 걸쳐 광범위하게 진행되었음을 알 수 있다.
이번 조사를 통해 CVE-2023-28771의 익스플로잇이 덴마크의 중요 인프라에만 국한되지 않았다는 사실이 밝혀졌다. 그 대신 공격은 노출된 디바이스를 표적으로 삼아 계속 진행 중이었으며, 자이젤 방화벽을 통해 중요 인프라 조직이 의도치 않게 피해자가 될 수 있었다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★