보안동향

[해외동향] 우버(Uber), 내부 시스템에 대한 해킹 조사 중

2022-09-20

2022년 9월 15일 오후(현지시간), Uber는 Twitter를 통해 보안 사고에 대응하고 있다고 발표했다.

[그림 1] Uber 보안 사고(Uber Twitter)

※ Uber의 공식 입장은 회사가 제공하는 뉴스페이지를 통해서 확인할 수 있다.

□ 개요

o 해커가 Uber 직원의 Slack(내부 메시지 서비스) 계정을 도용해 메시지(I am a hacker and uber has suffered a data breach.)를 보내면서 처음 공개됐다.

o 해커는 다크웹에서 Uber 직원의 IAM(Identity and Access Management) 자격 증명을 포함한 유출된 자격 증명을 구매하고, MFA 인증을 우회하여 초기 액세스 권한을 얻었다.

o 해커는 New York Times와 일부 사이버 보안 연구원에게 “이메일, 클라우드 저장소, 코드 저장소, GDrive, VCenter, 판매 지표, Slack, EDR 포털”을 포함한 Uber 내부 환경의 여러 스크린샷을 공유했다.

o Uber의 직원들은 ‘Slack Photograph: Mike Blake/Reuters’ 앱의 사용을 중단하라는 지시를 받았으며, 다른 내부 커뮤니케이션 채널도 폐쇄된 것으로 확인된다.

o Yuga Labs의 보안연구원 @SamCurry는 해커로 추정되는 사람과 접촉했으며, 공개된 스크린샷을 통해 AWS 및 GCP 서비스에 호스팅 된 우버의 데이터베이스가 침해된 것으로 보인다고 말했다.

□ KEY FACTS

[다크웹에서 유출된 계정정보 구매]

o 해커는 다크웹에서 Uber 직원의 IAM(Identity and Access Management) 자격 증명을 포함한 Slack, Facebook, Google, Instagram의 자격 증명을 구매하였다. 이러한 자격 증명은 Uber 직원이 인포스틸러 악성코드인 Racoon Stealer 및 Vidar Stealer에 감염되어 유출된 것으로 보이며, 해커는 구매한 자격 증명을 초기 엑세스 및 소셜 엔지니어링에 사용하였을 것으로 판단된다.

[MFA 우회 - MFA(Multi-Factor Authentication) 피로 공격]

o Uber는 MFA 인증 수단으로 푸시 인증을 사용하고 있었으며, 해커는 실제 사이트에서 Uber 직원의 자격 증명을 반복적으로 입력하였다. Uber 직원은 1시간 넘게 MFA 인증을 위한 푸시 메시지를 받았다.

o 이후 해커는 WhatsApp을 통해 Uber IT 팀을 가장하여 직원에게 연락하여 MFA 스팸 메시지를 해결하기 위해서는 인증 요청을 수락해야 한다고 설득하였다.

o Uber 직원이 MFA 인증 확인 버튼을 누름으로써 해커는 초기 엑세스에 성공하였다.

[하드코딩된 자격 증명이 포함된 파일에서 PAM 관리자 계정 정보 확보]

o 초기 액세스에 성공한 공격자는 네트워크를 스캔하고, 내부 공유 네트워크에 PAM(Tycotic)의 하드코딩된 관리자명과 패스워드가 포함된 PowerShell 스크립트를 발견했다. 이를 통해 DA, DUO, Onelogin, AWS, GSuite 등의 서비스에 대한 패스워드 수집이 가능한 것으로 확인됐다.

□ MITRE ATT&CK Mapping

[그림 2] Uber Breach & Attack Analysis(Michael Koczwara 트위터)

□ 접근 및 탈취 데이터

o 해커가 어떤 종류의 데이터에 액세스했는지, 고객 계정이 손상되었는지 여부는 불분명한 상황이다. 현재까지 해커는 Uber에 어떠한 요구도 하지 않았다.

o 해커가 공개한 스크린샷에 의하면 공격자는 AWS, 구글 클라우드(Google Cloud), VM웨어 브이스피어(VMware vSphere), 여러 윈도우 환경들에 관리자 권한을 가지고 접속하는 데 성공했다. 또한 해커는 우버의 영업 지표와 슬랙(Slack) 플랫폼, EDR 플랫폼 관련 정보를 획득했다.

o 해커원(HackerOne)의 버그바운티 프로그램을 통해 외부 보안 전문가들이 찾아낸 우버 시스템 내의 취약점 보고서를 획득한 것으로 추정된다. 우버는 9월 19일 Uber Newsroom 업데이트를 통해 공격자가 액세스할 수 있었던 모든 취약점 보고서의 결함은 수정되었다고 발표했다.

□ 참고 사항

o 소셜 엔지니어링 공격은 최근 Twitter, MailChimp, Robinhood, Okta 등의 기업이 해킹되었을 때 사용된 공격 기법이다.

o 과거, Uber는 2016년 11에 고객과 소속 운전자 5,700만 명에 대한 정보가 유출되었지만 1년 동안 개인정보 유출 사건을 은폐했다. 당시 Uber의 보안 담당자는 해커들에게 10만 달러(약 1억 3100만 원) 상당의 비트코인을 입막음용으로 지불하고 검찰에 거짓 진술을 요청했다.

□ 시사점

o MFA가 적용되어 있었음에도 불구하고, 해커는 소셜 엔지니어링 공격을 통해 이를 우회하여 초기 접근에 성공하였다. 해커들은 MFA를 우회하기 위해 피싱 공격을 점점 더 발전시켜가고 있으며, 이러한 위협을 완전히 제거하는 것은 쉽지 않은 일이다. 소프트웨어 취약점은 패치를 통해 문제를 해결할 수 있지만, 인간이 연결고리인 사회 공학 기법은 그렇지 않다. 소셜 엔지니어링 위협에 대비하여 조직이 할 수 있는 최선의 방어 수단은 주기적인 교육을 통한 보안 인식 훈련이며, 제로 트러스트 기반 인증 모델을 적용하는 것이다.

o 해커는 내부 공유 네트워크에서 하드코딩된 자격 증명이 포함된 PowerShell 스크립트를 발견하여 다양한 서비스(DA, DUO, Onelogin, AWS, GSuite)에 대한 자격 증명을 획득할 수 있었다. 자격 증명과 같은 중요 데이터를 포함한 파일을 보관하여야 할 경우 공유 네트워크에 보관하는 것은 적절하지 않으며, 해커에 의해 유출될 가능성을 대비하여 암호화 등과 같은 추가적인 보안조치가 수행되어야 한다.