DDoS 공격 보안 침해 브라질 사이버 보안 botnet 휴지네트워크

브라질의 DDoS 방어 전문 기업 '휴지네트워크(Huge Networks)'가 자사 고객사인 브라질 ISP들을 상대로 대규모 DDoS 공격을 일으킨 봇넷을 조종했다는 사실이 확인됐다. 보안 전문매체 크렙스온시큐리티(KrebsOnSecurity)의 보도에 따르면, 해당 공격은 내부 보안 침해로 인해 발생했으며, 경쟁사의 이미지 훼손을 위한 공격일 가능성도 제기되고 있다.

최근 몇 년간 브라질 내 ISP들을 대상으로 한 대규모 DDoS 공격이 지속되어 왔으나, 그 배후가 명확히 밝혀지지 않았다. 그러나 이번 달 초 익명의 정보원에 의해 공개된 파일 아카이브가 이 문제를 해결하는 단서로 떠올랐다. 이 파일에는 포르투갈어로 작성된 악성 Python 프로그램들과 함께, 브라질 ISP '휴지네트워크'의 CEO 개인 SSH 인증 키가 포함되어 있었다.

휴지네트워크의 배경과 botnet 조작

2014년 미국 마이애미에서 설립된 휴지네트워크는 브라질Rio de Janeiro를 기반으로 DDoS 방어 서비스를 제공하는 기업이다. 초기에는 게임 서버 보호에 주력했으나, 현재는 브라질 내 ISP들을 대상으로 DDoS 완화 서비스를 제공하고 있다. 이 기업은 공개된 악용 신고 기록이 없으며, DDoS 대여 서비스와도 무관한 것으로 알려져 있다.

그러나 공개된 파일 아카이브는 브라질 내 threat actor가 휴지네트워크의 인프라에 루트 접근 권한을 유지하며, 인터넷 상의 취약한 라우터와 DNS 서버를 악용해 강력한 DDoS 봇넷을 구축했다는 사실을 보여준다. 특히, 공격자들은 TP-Link Archer AX21 라우터의 취약점(CVE-2023-1389)을 악용해 botnet을 확장해 왔다.

DNS 반사 공격의 악용 메커니즘

DNS 반사 공격은 공격자들이 DNS 서버를 악용해 공격 대상의 IP 주소로 대용량 응답을 보내도록 유도하는 기법이다. 공격자들은 DNS 프로토콜의 확장 기능을 활용해 요청보다 수십 배 큰 응답을 유도할 수 있으며, 이를 통해 공격의 규모와 파괴력을 극대화한다. 예를 들어, 100바이트 미만의 DNS 요청이 60~70배 큰 응답으로 이어질 수 있으며, 수만 개의 감염된 장치로부터 동시에 이러한 요청이 발생하면 공격의 규모는 기하급수적으로 커진다.

공개된 파일 아카이브에는 공격자가 TP-Link Archer AX21 라우터를 스캔하며 botnet을 구축한 과정이 명령줄 기록으로 남아 있다. 이는 공격자가 브라질 내 ISP들을 대상으로 한 대규모 DDoS 공격을 지속적으로 수행해 왔음을 시사한다.

경쟁사로부터의 공격 가능성 제기

휴지네트워크의 CEO는 이번 공격이 내부 보안 침해로 인한 것이며, 경쟁사가 자사의 평판을 훼손하기 위해 벌인 공격일 가능성을 제기했다. 그러나 아직까지는 명확한 증거가 제시되지 않은 상태다. 보안 전문가들은 이 사건이 브라질 내 DDoS 방어 산업의 투명성과 신뢰성에 대한 경각심을 불러일으킬 것이라고 지적했다.

출처: Krebs on Security
‘인빈시블 VS’ 리뷰: 기대와 달리 아쉬운 전투 게임
← 이전

‘인빈시블 VS’ 리뷰: 기대와 달리 아쉬운 전투 게임

 트럼프, 지미 키멜 해고 촉구…“ABC는 당장 결정하라”
다음 →

트럼프, 지미 키멜 해고 촉구…“ABC는 당장 결정하라”