SK텔레콤 사내 시스템이 해킹 공격을 받았다. 이로 인해 유심 관련 일부 정보가 유출된 정황이 포착됐다.
2025년 4월 22일 SKT는 유심 관련 정보가 유출된 정황이 있다고 공지했다. 문제가 된 시스템은 가입자 전화번호와 고유식별번호 등 유심 정보와 음성 서비스 제공에 필요한 정보 등을 통합 관리하는 ‘홈가입자서버’(HSS)로 추정된다. 여기에 쓰인 악성 코드가 BRF도어일 가능성이 높다는 것이다
점심때 유심교체 하러 갔더니 사람들이 무진 많았습니다. 예약하시는 분도 많은가 봅니다.
유심무료교체신청 : https://care.tworld.co.kr :
BPF 도어
BPF도어 악성코드는 리눅스나 솔라리스 시스템을 목표로 한 스텔스형 백도어 악성코드다. 2017년 이후 5년가량 탐지되지 않다가 2021년 PwC 연구진에 의해 다시 발견됐다.
BRF 백도어(BPFDoor)는 리눅스 시스템에서 사용되는 Berkeley Packet Filter(BPF) 기능을 악용하는 고급형 백도어 악성코드입니다. 이 백도어는 기존 보안 탐지망을 우회하여 시스템에 침투하고, 외부 명령을 수신 및 실행할 수 있어 탐지가 매우 어렵습니다.
원리
BPF도어는 Berkeley Packet Filter(BPF) 기술을 악용합니다. BPF는 네트워크 패킷 필터링을 위한 리눅스 커널 기능으로, 정상 서비스(웹 서버/SSH)가 사용 중인 포트에 다음과 같은 매직 패킷을 등록해 작동합니다
| TCP | 0x5293 |
| UDP | 0x7255 |
| ICMP | 0x7255 |
이 방식은 별도의 포트 개방 없이 기존 서비스 포트를 재활용하므로 탐지가 어렵습니다. 공격자가 특정 포트로 매직 패킷을 전송하면 백도어가 활성화됩니다.
BPF 도어의 기능과 특징
- 포트리스닝 없이 명령 수신: 특정 포트를 열지 않고도 공격자의 명령을 수신할 수 있습니다.
- BPF를 이용한 패킷 필터링: 시스템의 BPF 기능을 활용하여 특정 조건에 맞는 패킷만 감청합니다.
- 루트킷 수준의 은폐성: 일반적인 보안 솔루션으로 탐지하기 어렵습니다.
- 다양한 시스템 지원: 리눅스, 솔라리스, AIX 등 여러 유닉스 계열 시스템에서 동작합니다.
1.은닉성 강화: 실행 프로세스를 [kworker/u:0]나 [kthreadd] 등 시스템 프로세스명으로 위장.
2. 패시브 작동: C&C 서버에 지속 연결하지 않고 수동 대기 모드 유지.
3.다중 명령 지원:
Reverse Shell: 공격자 지정 IP/포트로 역방향 연결
Bind Shell: 새 포트 개방 후 방화벽 규칙 조작
4. 소스 코드 유출 영향: 2023년 소스 코드 공개로 다양한 해커 집단의 활용 증가.
작동 원리
- 초기 감염: 공격자가 취약한 시스템에 접근하여 BPFDoor를 설치합니다.
- BPF 소켓 생성: 백도어는 BPF 소켓을 열어 네트워크 트래픽을 감청합니다.
- 특정 패킷 수신: 공격자가 전송한 특수한 패킷을 필터링하여 감지합니다.
- 명령 실행: 감지된 패킷을 통해 명령을 수신하고, 시스템에서 직접 실행합니다.
- 매직 패킷 수신 시 비밀번호(justforfun/socket)로 인증 후 쉘 명령 수행 가능 - 역방향 연결 생성: 경우에 따라 공격자에게 역으로 접속을 시도하여 셸(shell)을 제공합니다
# BPF 필터 등록
struct sock_filter code[] = {
{ 0x28, 0, 0, 0x0000000c },
{ 0x15, 0, 3, 0x00000800 }, // IPv4 체크
{ 0x30, 0, 0, 0x00000017 },
{ 0x15, 0, 1, 0x00000011 }, // UDP 프로토콜
{ 0x6, 0, 0, 0x00040000 }, // 매직 값 0x7255 반환
{ 0x6, 0, 0, 0x00000000 },
};
예방 조치:
- 네트워크 모니터링: netstat -tulpn 으로 의심 포트 검사
- 패치 관리: 커널 및 BPF 관련 모듈 최신 버전 유지
- 무결성 검증: aide나 tripwire로 시스템 파일 변경 사항 추적
사후 대응:
- 즉시 격리: 네트워크 연결 차단(전원 유지)
#iptables 추가 iptables -A INPUT -p tcp --dport [포트번호] -j DROP - 포렌식 분석: /proc/[PID]/fd 디렉토리에서 열린 파일 확인
- 전문가 협력: AhnLab EDR 같은 엔드포인트 탐지 도구 활용
BPF 해커들의 특징 및 유형
| 주요 사용 주체 | 중국 기반 해킹 그룹(레드멘션 등), 최근엔 다양한 국가 해커 |
| 주요 공격 대상 | 리눅스 서버, 통신·금융·리테일 등 관리 취약 분야 |
| 공격 방식 | 커널 단 백도어, 정상 포트 활용, 탐지 어려움 |
| 공격자 추적 난이도 | 소스코드 공개로 인해 특정 어려움 |
| 공격 목적 | 개인정보·기밀정보 탈취, 금전적 이득, 추가 공격 거점 확보 |
| 공격 패턴 | 반복적, 조직적, 지능형 지속 위협(APT) 성격 |
이처럼 BPF도어를 사용하는 해커들은 은밀하고 치밀한 전략으로, 서버 보안이 취약한 주요 인프라를 노리고 반복적으로 공격을 시도하는 특징을 보입니다
'InfraPlatform' 카테고리의 다른 글
| RHEL과 SUSE Multi-Linux Support로 전환하여 비용절감 (10) | 2025.05.17 |
|---|---|
| 게임 그래픽 작업을 위한 HP OMEN 노트북 비교 (NVIDIA RTX 4060 노트북 4종) (2) | 2025.04.13 |
| MySQL Galera Cluster와 Replication 기술 (1/2) (2) | 2025.04.02 |
| MySQL Galera Cluster와 Replication 기술 (2/2) (1) | 2025.04.02 |
| Linux에서 `syslog`를 효과적으로 구성하는 방법 (0) | 2025.03.19 |
| 리눅스 커널 파라미터 튜닝 할 때 많이 사용하는 설정 (1) | 2025.03.19 |
| Dockerise를 이용한 Nginx와 Tomcat Container를 구성하는 방법 (1) | 2025.02.18 |