최근 MGM 리조트 인터내셔널을 겨냥한 사이버 침입은 오늘날의 위협 환경에서 현대 조직이 직면하고 있는 민감한 데이터의 보호와 노출된 취약성을 둘러싼 시급한 문제를 강조했습니다.
벨라지오, 아리아, 코스모폴리탄 등 라스베이거스 스트립의 유명 호텔과 카지노를 운영하는 MGM 리조트는 사이버 공격의 심화에 대응하기 위해 광범위한 네트워크 셧다운을 실시했습니다. 이로 인해 호텔과 카지노 시설 전체에 상당한 혼란이 발생했으며, 고객들은 ATM과 슬롯머신을 사용할 수 없는 것부터 객실 디지털 키 카드와 전자 결제 시스템의 오작동에 이르기까지 다양한 문제를 경험했습니다.
범인은? 사회 공학에 능숙한 사이버 범죄자들입니다. 이들은 영어를 유창하게 구사하는 독특한 특성으로 사이버 보안 업계에서 인정을 받았으며, 이는 일반적으로 영어 실력이 부족한 대부분의 사이버 범죄 집단과 차별화되는 특징입니다.
흥미롭게도 맨디언트의 연구원들은 전술, 기법, 절차(TTP)가 비슷하기 때문에 팀 구성과 접근 방식이 비슷한 스캐터드 스파이더와 랩서스 해킹 그룹 간의 상관관계를 발견했습니다(그림 1 참조).¹
그림 1. 랩서스 해킹 그룹과 MGM 공격과 관련된 위협 행위자 간의 연관성. (출처: 제이크 니카스트로, 맨디언트. 2023)
그들의 수법은? 영리하게 실행된 소셜 엔지니어링 작전은 내부 헬프데스크를 통한 다단계 인증(MFA) 요청 재설정을 용이하게 하기 위해 고위 MGM 사용자의 LinkedIn 프로필을 활용하여 초기 액세스를 위한 길을 열었습니다.
이 문제에 대한 수많은 보안 보고서에 따르면, 가해자들은 "인바운드 페더레이션"이라는 기능을 사용하여 Okta 테넌트에 추가 ID 공급자(IdP)를 설정함으로써 MGM의 네트워크 내에서 지속성을 확보했습니다. 이 기능은 일반적으로 조직 인수 합병 시 빠른 연결 및 통합을 위해 사용되지만, 이 사례에서는 위협 행위자가 이를 악용하여 피해자의 네트워크에 대한 통제력을 강화했습니다.
그 시점부터 공격자들은 MGM의 Okta와 Microsoft Azure 클라우드 환경을 장악하여 ID 및 액세스 관리(IAM) 플랫폼에서 관리하는 애플리케이션뿐만 아니라 클라우드 자산까지 장악했습니다. MGM 사이버 보안 담당자가 Okta 서버 동기화를 종료한 후에도 해커들은 네트워크 내에 남아 있었다고 진술했습니다(그림 2 참조).² 해커들은 MGM의 Okta 환경에 대한 수퍼 관리자 권한과 MGM의 Microsoft Azure 테넌트에 대한 글로벌 관리자 권한을 보유하고 있었다고 주장했습니다.
그림 2. 위협 행위자 설명(ALPHV/BlackCat 랜섬웨어 그룹) (출처: ALPHV 양파 프로파일)
결국 수많은 호텔 시스템을 지원하는 수천 개의 가상 머신을 호스팅하는 수백 대의 ESXi 서버가 암호화되어 광범위한 혼란을 야기했습니다. ESXi 호스트가 순차적으로 암호화되면서 애플리케이션이 연쇄적으로 다운되었습니다. 이로 인해 슬롯머신이 작동하지 않고, 호텔 객실 키가 작동하지 않고, 저녁 식사 예약이 중단되고, POS 시스템이 작동하지 않고, 고객이 체크인이나 체크아웃을 할 수 없게 되었습니다.
이러한 사고가 발생하는 이유는 무엇인가요?
랜섬웨어 공격은 전통적으로 피싱, 인증 정보 도용, 취약점 악용 등 다양한 방법을 사용해 왔습니다.
최근 몇 년 동안 여러 가지 이유로 소셜 엔지니어링, 더 구체적으로는 비싱(보이스 피싱)이 더욱 효과적으로 사용되고 있습니다:
- 고급 스푸핑 기법: 공격자들은 합법적인 출처에서 걸려온 전화인 것처럼 보이도록 전화번호를 스푸핑하는 데 능숙해졌습니다. 이를 통해 개인을 속여 무시할 수도 있는 전화를 받도록 유도할 수 있습니다.
- 사회 공학: 비싱 공격은 종종 그럴듯한 사회 공학 전술을 사용합니다. 공격자는 다양한 출처에서 개인 정보를 수집합니다. 이 경우, MGM 고위 직원의 LinkedIn 프로필을 통해 더욱 그럴듯하게 전화를 겁니다.
- 실행의 용이성: 비싱 공격은 비교적 낮은 기술력과 리소스로도 실행할 수 있습니다. 이러한 접근성은 광범위한 위협 행위자가 이러한 공격에 참여할 수 있다는 것을 의미합니다.
- 원격 근무: 원격 근무의 증가로 인해 커뮤니케이션을 위한 전화 및 화상 통화에 대한 의존도가 높아졌습니다. 공격자들은 이러한 변화하는 커뮤니케이션 환경을 악용하기 위해 이 기회를 포착했습니다.
IAM 플랫폼을 표적으로 삼는 것은 위협 행위자들이 사용하는 잘 알려진 전술로, 조직에 대한 지속적인 액세스를 제공하고 시스템 전반으로 권한을 확장하여 피해를 증가시키는 결과를 가져옵니다. 이 전략은 새로운 것은 아니지만 강력한 액세스 거점을 찾는 공격자에게는 엄청난 가치를 창출하는 전략입니다.
위협 행위자가 발견되고 인지된 후, MGM의 Okta 동기화 서버는 종료되었고 랜섬웨어 공격 단계가 진행 중이었으며, BlackCat/ALPHV 랜섬웨어 그룹에 의해 공격이 진행되었습니다. 서비스형 랜섬웨어(RaaS)는 범죄 공급망 내에서 번성하고 있는 산업입니다. 합법적인 기업이 SaaS 애플리케이션에 의존하는 것과 유사하게, BlackCat/ALPHV와 같은 범죄 그룹은 멀웨어 개발, 명령 및 제어 서비스, Tor 유출 사이트, 멀웨어 지원, 피해자 협상 서비스 등 원래 공격자의 역량을 보완하는 전문 서비스를 제공합니다.
미국 최대 카지노 체인인 시저스 엔터테인먼트가 심각한 침해 사고 이후 약 1,500만 달러의 몸값을 지불하는 것을 보고 사이버 범죄 그룹은 자신들 앞에 놓인 기회를 탐색할 충분한 동기를 찾게 될 것입니다.
무엇을 할 수 있나요?
공격자가 소셜 미디어(LinkedIn) 피해자 데이터를 교묘하게 조작하여 MGM IT 헬프데스크 운영자를 속여 가장 중요한 초기 액세스 경로를 확보한 만큼 보안 교육과 경계의 중요성을 절대 간과해서는 안 됩니다.
소셜 엔지니어링과 비싱, 인증정보 탈취, 클라우드 계정 탈취, 궁극적으로는 랜섬웨어를 결합한 이러한 위협에 직면할 때는 노출과 공격 표면을 최소화하는 것이 가장 중요합니다. 다음은 이와 같은 정교한 위협을 방어하는 데 도움이 되는 몇 가지 팁입니다:
- 폭발 반경을 줄이세요: 온프레미스나 클라우드에 관계없이 내부 시스템 자산을 분리하세요. 위협 행위자가 기업 환경을 사칭하여 성공적으로 침입하는 경우에도 제로 트러스트 원칙을 사용하여 리소스를 격리하고 세분화하면 공격자의 이동을 대폭 제한하고 공격 표면을 최소화할 수 있습니다.
- 손상된 사용자 및 내부자 위협 차단: 인라인 애플리케이션 및 데이터 검사와 광범위한 행동 분석을 활용하여 외부 위협이든 악의적인 의도를 가진 내부자든 잠재적인 공격자를 식별하고 차단합니다.
- 외부 공격 표면 최소화: 사용자와 접속 요청을 애플리케이션 및 서비스에 직접 연결하여 측면 이동을 제한합니다. MGM의 공격의 경우, Okta, Microsoft Azure, 마지막으로 온프레미스 ESXi 서버 사이를 횡적으로 이동함으로써 해킹이 가능했습니다.
- 데이터 손실 방지: 모든 잠재적 위협 벡터와 유출 채널에 인라인 data loss prevention 을 배포하세요. 불행히도 침입자가 무단으로 액세스하는 경우, 데이터에 대한 침입자의 작업을 방지하면 침해로 인한 영향을 크게 줄일 수 있습니다.
- 잦은 감사 및 평가 실시: 정기적인 사이버 보안 감사를 통해 규정 준수를 평가하고 지식 격차를 파악할 뿐만 아니라 사이버 범죄자에게 가장 중요한 초기 접근 경로를 제공하는 약점과 취약점을 파악할 수 있습니다.
- 직원을 지속적으로 교육하세요: 비싱은 공격자들의 강력한 무기로서 그 위력을 더해가고 있습니다. 많은 사람들이 비싱을 위협 요인으로 인식하지 못하거나 비싱 공격에 대한 취약성을 인식하지 못해 전화에 응답할 때 경계를 늦추는 경우가 많습니다. 이러한 인식 부족은 조작에 취약하게 만들 수 있습니다.
참조: