스페인 오렌지 서비스 중단: 위협 행위자에 의한 BGP 트래픽 탈취
최근 사이버 보안 사고로 인해 오렌지 스페인은 다음과 같은 심각한 인터넷 중단 사태를 겪었습니다. 1월 3일, 2024. 'Snow'라는 이름의 위협 행위자가 회사의 RIPE 계정의 취약점을 악용했습니다. Orange 오렌지 스페인 서비스 중단 은 보더 게이트웨이 프로토콜(BGP) 라우팅이 잘못 구성되고 잘못된 리소스 공개 키 인프라(RPKI) 구성이 구현되는 결과를 초래했습니다.
BGP 트래픽 하이재킹
인터넷의 트래픽 라우팅은 BGP(보더 게이트웨이 프로토콜)에 의존하며, 이를 통해 조직은 자신의 IP 주소를 자율 시스템(AS) 번호와 연결할 수 있습니다. 그런 다음 이러한 연결이 피어라고 하는 연결된 라우터에 알려지면서 라우팅 테이블이 형성됩니다. 이 테이블은 트래픽을 특정 IP 주소로 보내는 최적의 경로를 안내합니다.
그러나 악의적인 공격자는 BGP의 신뢰 기반 구조를 악용할 수 있습니다. 다른 AS 번호와 연관된 IP 범위를 허위로 발표하여 트래픽을 악의적인 대상으로 리디렉션할 수 있습니다. Cloudflare는 BGP가 신뢰에 의존하여 광고주가 제공한 가장 짧고 구체적인 경로를 기반으로 라우팅 테이블을 업데이트한다는 점에 주목합니다.
RPKI 소개: BGP 하이재킹에 대한 솔루션
BGP 하이재킹에 대응하기 위해 리소스 공개 키 인프라(RPKI)라는 암호화 솔루션이 도입되었습니다. RPKI는 BGP 경로 알림을 올바른 발신 AS 번호와 연결합니다. ARIN 또는 RIPE와 같은 라우팅 기관에서 RPKI를 활성화하면 네트워크는 자신이 제어하는 라우터만 AS 번호와 관련 IP 주소를 알릴 수 있음을 암호학적으로 인증할 수 있습니다.
오렌지 스페인 정전
오렌지 스페인 오렌지 스페인 서비스 중단 은 위협 행위자 'Snow'가 Orange Spain의 RIPE 계정을 침해하면서 발생했습니다. 계정에 침입한 후 Snow는 이 회사의 IP 주소와 연결된 AS 번호를 수정하고 잘못된 RPKI 구성을 활성화했습니다. 스노우는 잘못된 ROA(경로 오리진 인증) 레코드를 생성하여 다른 AS 번호(AS49581)이 Orange Spain의 IP 주소 접두사를 알려야 한다고 표시했습니다. 이러한 잘못된 레코드에서 RPKI를 활성화하면 인터넷 공지가 제대로 이루어지지 않았습니다. 그 결과 눈에 띄는 오렌지 스페인 네트워크 문제.
오렌지 스페인의 대응 및 복구
인정 BGP 라우팅 사고을 인지한 Orange Spain은 신속한 조치를 취해 서비스를 복구하고 RIPE 계정에 대한 무단 액세스를 확인했습니다. 이 회사는 트윗을 통해 사용자들에게 이번 인터넷 서비스 제공업체의 인터넷 서비스 제공업체 중단서비스 탐색에만 영향을 미쳤다고 강조했습니다.
인터넷 인프라 보안
위협 행위자가 RIPE 계정을 침해한 방법은 아직 확실하지 않습니다. DMNTR 네트워크 솔루션의 CTO인 펠리페 카니자레스는 오렌지 스페인이 해당 계정에 2단계 인증을 구현하지 않았을 것으로 추측했습니다.
정보 탈취 악성코드를 통해 유출된 인증정보
오렌지 스페인은 통신 네트워크 장애의 구체적인 내용은 공개하지 않았지만 통신 네트워크 중단사이버 보안 인텔리전스에 따르면 위협 행위자의 사이버 공격을 통해 계정 자격 증명을 획득한 것으로 밝혀졌습니다. 정보 탈취 멀웨어. 허드슨 락의 연구에 따르면 2023년 9월 4일에 감염된 컴퓨터에서 유출된 것으로 밝혀졌습니다. 이메일 주소([email protected])와 비밀번호('ripeadmin')를 포함한 유출된 인증정보는 멀웨어가 탈취한 계정 목록에서 발견되었습니다.
해커의 입학과 동기
스노우는 나중에 이들이 계정에 쉽게 액세스한 것을 확인하면서 비밀번호 보안이 의심스럽다고 강조했습니다. 트위터/X에 올린 게시물에서 스노우는 도난당한 데이터의 공개 유출에서 자격 증명을 발견했다고 언급하며 2단계 인증이 없다는 점을 강조했습니다. 해커는 범행 동기에 대해 묻자 '재미' 또는 '웃음'을 위해 범행을 저질렀다고 주장했습니다.
오렌지 스페인 인시던트 분석
이에 대한 대응으로 오렌지 스페인 서비스 중단에 대응하여 RIPE는 조사를 실시하여 Orange의 계정을 복구하고 사용자에게 다단계 인증을 사용하도록 촉구했습니다. RIPE는 비밀번호를 업데이트하고 추가 보안 조치를 추가 보안 조치의 중요성을 강조하며 사이버 위협에 대한 다층적 방어의 필요성을 강조했습니다.
이러한 인시던트를 고려할 때 모든 계정, 특히 RIPE 계정과 같이 중요한 액세스 권한이 있는 계정은 멀티팩터 인증을 사용하도록 설정하는 것이 필수적입니다. 이러한 추가적인 보안 계층은 자격 증명이 유출되더라도 위협 행위자가 무단으로 액세스하는 것을 훨씬 더 어렵게 만듭니다.
결론
The 스페인 오렌지 서비스 중단 은 중요한 인터넷 인프라의 취약성과 사전 예방적 사이버 보안 조치의 중요성을 강조합니다. 위협 행위자들은 종종 훔친 인증 정보를 악용하여 기업 네트워크에 대한 초기 액세스 권한을 획득하고, 이는 데이터 도난, 스파이 활동, 랜섬웨어 공격 등 다양한 사이버 위협으로 이어집니다.
구현 강력한 사이버 보안 구현에 강력한 사이버 보안을 구현하는 것은 온라인 서비스의 복원력과 연속성을 보장하는 잠재적 위협으로부터 보호하는 데 매우 중요합니다.
이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스 와 삐걱거리는 컴퓨터.