[데일리시큐]중국 해킹그룹, 지원 종료된 방화벽 제로데이 공격…국가 기관 타깃 공격 정황

내용 요약

NCSC가 공개한 자료에 따르면, Cisco 방화벽의 보안 취약점을 악용한 고도화된 공격이 확인되었으며, 신규 악성코드 ‘RayInitiator’와 ‘LINE VIPER’가 국가기관을 목표로 침투했다고 한다. RayInitiator는 부트로더 GRUB에 심어지는 지속성 부트킷이며, 재부팅·펌웨어 업그레이드 후에도 ‘lina’ 핵심 바이너리에 핸들러를 삽입해 살아남는다.

핵심 포인트

• 취약점 기반 침투: Cisco 방화벽 OS의 버그가 공격자가 내부 네트워크 접근을 가능하게 함.
• 지속성 부트킷: RayInitiator는 GRUB 부트로더와 ‘lina’에 삽입돼 재부팅·펌웨어 업그레이드에도 생존.
• 대상 범위: 국가기관·정부 네트워크를 주요 목표로 한 정교한 사이버 작전의 일환.

기술 세부 내용

1️⃣ RayInitiator – 부트킷 기반 Persistence

• 작동 원리
  1️⃣ 부트로더 GRUB에 악성코드를 삽입 → 시스템 부팅 시 자동 실행.
  2️⃣ 부트 과정에서 lina OS 핵심 바이너리의 특정 섹션에 핸들러 삽입 → 운영 체제 로드 중 바로 제어 획득.
  3️⃣ 재부팅·펌웨어 업그레이드 시에도 부트로더와 lina가 재배치되지 않도록 암호화된 패턴을 사용, 정상 업데이트를 방해하지 않음.
• 주요 특징
  • Self‑Healing: 업그레이드 후에도 동일한 부트로더 시그니처가 남아 있어 자동 복구.
  • Low‑Profile: 시스템 로그에 최소한의 흔적 남기고, 일반 보안 솔루션이 탐지하기 어려운 비정상적 부트 시퀀스를 사용.
  • Command & Control: 외부 C&C 서버와 암호화된 채널을 통해 업데이트와 명령 전달.

2️⃣ LINE VIPER – 고급 악성코드 패밀리

• 현재 정보
  • NCSC 보고서에서 언급되지만, 구체적인 동작 메커니즘과 인프라 구조는 공개되지 않음.
  • RayInitiator와 달리 네트워크 내에서의 정밀 스캐닝과 암호화된 데이터 추출 기능이 핵심으로 추정.
• 예상 공격 흐름
  1️⃣ 초기 접근 → Cisco 방화벽 취약점 이용
  2️⃣ 내부망 확산 → 다양한 프로토콜(SSH, SNMP) 활용
  3️⃣ 데이터 수집 → 암호화 전송 → 외부 C&C에 전달
• 대응 방안
  • 패치 관리: Cisco 방화벽 OS 최신 버전 적용
  • 부트로더 검증: GRUB 서명 확인 및 비정상 파일 탐지
  • 침입 탐지: lina 바이너리 무결성 모니터링 및 이상 행위 알림

⚠️ 공격은 지속성 부트킷과 고급 데이터 수집을 결합해 국가기관의 핵심 인프라를 타깃으로 한다는 점을 주의하시기 바랍니다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=201003