2018.08.30

파이어아이, 중국 ‘일대일로’와 연관된 사이버 공격자 그룹과 악성코드 확인

편집부 | CIO KR
파이어아이가 아시아와 유럽, 아프리카 등 70여 개국을 연결하는 육, 해상 실크로드인 중국의 일대일로(一带一路)와 관련이 높은 것으로 보이는 사이버 공격에 대한 정보를 공개했다.

파이어아이는 일대일로가 중국 APT(Advanced Persistent Threat) 그룹을 비롯한 다양한 공격자들의 지역 기반 사이버 위협의 촉매제가 될 것으로 전망한다. 이들은 사이버 위협으로 유리한 정보를 확보하고, 각종 프로젝트 및 협약과 관련한 기업 인텔리전스를 수집할 것으로 예측된다. 예전 활동을 고려하면 공격 대상은 지역 정부, 학계 및 씽크탱크, 운송, 건설, 제조, 에너지, 채굴 및 금융 분야 등으로 예상된다.

파이어아이는 이미 지역별로 출처가 모호한 공격자들이 일대일로와 관련된 사이버 공격을 더욱 많이 시도하고 있다는 증거를 확인했다. 관련 그룹과 악성코드는 ▲로밍 타이거(Roaming Tiger) ▲토이스네이크(TOYSNAKE) ▲베인찬트(BANECHANT) ▲리터콜라(LITRECOLA) ▲세이퍼싱(SAFERSING) ▲템프페리스콥(TEMP.Periscope) 등이다.

로밍 타이거는 중국계 조직으로 벨라루스의 국가안보 기관을 노렸으며 ‘북경에서 개최되는 일대일로 포럼(The Belt and Road Forum in Beijing)’이라는 문서로 로밍 타이거의 ENFAL다운로더, ENFAL백도어, 새롭게 확인된 영파일럿(YOUNGPILOT) 페이로드(payload)를 함께 유포했다. 로밍 타이거는 기존에 주로 구소련 연방 내 대상을 노렸으며, 한국 외교와 관련된 사안도 노린 것으로 보인다. 이는 로밍 타이거가 동부 및 중앙 유럽에만 한정된 것이 아니라 전 세계적으로 사이버 공격 범위 확장을 고려할 수 있다는 점을 시사한다.

토이스네이크는 유럽 정치권을 노렸던 APT25를 비롯한 다수의 중국 사이버 스파이들이 사용했던 백도어 악성코드다. 파이어아이는 2017년 12월 6일부터 7일까지 여러 유럽국가의 외교부를 대상으로 한 스피어피싱 이메일을 탐지했는데, 이 메일들은 토이스네이크를 설치시키는 악성 문서를 포함했다. 일대일로를 비롯해 무역 관련 주제에 집중하는 최근 중국 사이버 스파이 활동 기조대로 이번 활동은 당시 다가오던 세계무역기구(WTO) 미팅에 대한 정보 수집을 노린 것으로 짐작된다.

최근 몰디브가 일대일로 관련 중국 인프라 개발과 금융 투자의 중심으로 떠오르고 있다. 파이어아이는 지난 2017년 말, 몰디브를 대상으로 한 사이버 첩보 활동에 대해 보고하면서, 발생 이유로 몰디브가 인도양 내 경제 및 보안 부문에서 차지하는 역할이 크기 때문으로 추측했다. 당시 공격은 정책 관련 내용을 담은 악성 워드 파일을 활용해 ‘베인찬트’라는 페이로드를 퍼뜨리는 것이었다. 아직 실체가 명확하지 않지만, 공격 대상 선정과 기술을 살펴보았을 때 중국과의 연결고리가 있다고 판단된다.

캄보디아 정치인을 대상으로 라오스 정부기관의 연락처를 담은 악의적인 매크로 문서를 통해 ‘리터콜라’ 악성코드가 활용된 것으로 여겨진다. 파이어아이는 공격 대상이 된 이메일을 통해 리터콜라 악성코드를 배포하는 그룹과 관련 인프라가 이전에 다른 중국 관련 캠페인과 IP주소가 동일한 점을 확인해, 해당 공격이 중국발이라 추측했다.

파이어아이는 일대일로로 인해 아시아와 중동에 걸쳐 새롭게 떠오르는 사이버 공격자의 역량과 국가 단위의 후원자가 어떤 기준에서 이런 역량을 가진 사이버 공격자를 활용하는지 조명될 것이라고 밝혔다. 이미 파이어아이는 베트남과 같이 특정 지역 기반의 사이버 공격자가 자국 내 외국계 기업들을 대상으로 자신들의 첩보 역량을 발휘하기를 원한다는 사실을 밝힌 바 있다.

이처럼 국가 주도 공격자(nation-state actors)가 일대일로에 참여하는 민간 조직을 노릴 가능성도 존재할 수 있다. 일대일로라는 경제 발전 계획의 수혜를 기대하는 서구 국가도 존재하겠지만, 파이어아이는 앞으로 일대일로 관련 프로젝트 수가 늘고 계약이 체결되면서, 심각한 사이버 위협 활동이 따라올 것으로 전망한다.

파이어아이 코리아 전수홍 지사장은 “한국의 경우 중국과 경제, 외교 면에서 긴밀한 관계를 맺어왔을 뿐만 아니라 일대일로 참여국이 주요 시장이기에 관련 사이버 공격 활동의 간접적인 영향을 받을 수 있다”며, “파이어아이는 앞으로도 이 대규모 사업 이면에서 활동하는 사이버 공격을 추적해, 국내외 관계자들이 보안 태세를 갖출 수 있도록 할 것”이라고 말했다. ciokr@idg.co.kr



2018.08.30

파이어아이, 중국 ‘일대일로’와 연관된 사이버 공격자 그룹과 악성코드 확인

편집부 | CIO KR
파이어아이가 아시아와 유럽, 아프리카 등 70여 개국을 연결하는 육, 해상 실크로드인 중국의 일대일로(一带一路)와 관련이 높은 것으로 보이는 사이버 공격에 대한 정보를 공개했다.

파이어아이는 일대일로가 중국 APT(Advanced Persistent Threat) 그룹을 비롯한 다양한 공격자들의 지역 기반 사이버 위협의 촉매제가 될 것으로 전망한다. 이들은 사이버 위협으로 유리한 정보를 확보하고, 각종 프로젝트 및 협약과 관련한 기업 인텔리전스를 수집할 것으로 예측된다. 예전 활동을 고려하면 공격 대상은 지역 정부, 학계 및 씽크탱크, 운송, 건설, 제조, 에너지, 채굴 및 금융 분야 등으로 예상된다.

파이어아이는 이미 지역별로 출처가 모호한 공격자들이 일대일로와 관련된 사이버 공격을 더욱 많이 시도하고 있다는 증거를 확인했다. 관련 그룹과 악성코드는 ▲로밍 타이거(Roaming Tiger) ▲토이스네이크(TOYSNAKE) ▲베인찬트(BANECHANT) ▲리터콜라(LITRECOLA) ▲세이퍼싱(SAFERSING) ▲템프페리스콥(TEMP.Periscope) 등이다.

로밍 타이거는 중국계 조직으로 벨라루스의 국가안보 기관을 노렸으며 ‘북경에서 개최되는 일대일로 포럼(The Belt and Road Forum in Beijing)’이라는 문서로 로밍 타이거의 ENFAL다운로더, ENFAL백도어, 새롭게 확인된 영파일럿(YOUNGPILOT) 페이로드(payload)를 함께 유포했다. 로밍 타이거는 기존에 주로 구소련 연방 내 대상을 노렸으며, 한국 외교와 관련된 사안도 노린 것으로 보인다. 이는 로밍 타이거가 동부 및 중앙 유럽에만 한정된 것이 아니라 전 세계적으로 사이버 공격 범위 확장을 고려할 수 있다는 점을 시사한다.

토이스네이크는 유럽 정치권을 노렸던 APT25를 비롯한 다수의 중국 사이버 스파이들이 사용했던 백도어 악성코드다. 파이어아이는 2017년 12월 6일부터 7일까지 여러 유럽국가의 외교부를 대상으로 한 스피어피싱 이메일을 탐지했는데, 이 메일들은 토이스네이크를 설치시키는 악성 문서를 포함했다. 일대일로를 비롯해 무역 관련 주제에 집중하는 최근 중국 사이버 스파이 활동 기조대로 이번 활동은 당시 다가오던 세계무역기구(WTO) 미팅에 대한 정보 수집을 노린 것으로 짐작된다.

최근 몰디브가 일대일로 관련 중국 인프라 개발과 금융 투자의 중심으로 떠오르고 있다. 파이어아이는 지난 2017년 말, 몰디브를 대상으로 한 사이버 첩보 활동에 대해 보고하면서, 발생 이유로 몰디브가 인도양 내 경제 및 보안 부문에서 차지하는 역할이 크기 때문으로 추측했다. 당시 공격은 정책 관련 내용을 담은 악성 워드 파일을 활용해 ‘베인찬트’라는 페이로드를 퍼뜨리는 것이었다. 아직 실체가 명확하지 않지만, 공격 대상 선정과 기술을 살펴보았을 때 중국과의 연결고리가 있다고 판단된다.

캄보디아 정치인을 대상으로 라오스 정부기관의 연락처를 담은 악의적인 매크로 문서를 통해 ‘리터콜라’ 악성코드가 활용된 것으로 여겨진다. 파이어아이는 공격 대상이 된 이메일을 통해 리터콜라 악성코드를 배포하는 그룹과 관련 인프라가 이전에 다른 중국 관련 캠페인과 IP주소가 동일한 점을 확인해, 해당 공격이 중국발이라 추측했다.

파이어아이는 일대일로로 인해 아시아와 중동에 걸쳐 새롭게 떠오르는 사이버 공격자의 역량과 국가 단위의 후원자가 어떤 기준에서 이런 역량을 가진 사이버 공격자를 활용하는지 조명될 것이라고 밝혔다. 이미 파이어아이는 베트남과 같이 특정 지역 기반의 사이버 공격자가 자국 내 외국계 기업들을 대상으로 자신들의 첩보 역량을 발휘하기를 원한다는 사실을 밝힌 바 있다.

이처럼 국가 주도 공격자(nation-state actors)가 일대일로에 참여하는 민간 조직을 노릴 가능성도 존재할 수 있다. 일대일로라는 경제 발전 계획의 수혜를 기대하는 서구 국가도 존재하겠지만, 파이어아이는 앞으로 일대일로 관련 프로젝트 수가 늘고 계약이 체결되면서, 심각한 사이버 위협 활동이 따라올 것으로 전망한다.

파이어아이 코리아 전수홍 지사장은 “한국의 경우 중국과 경제, 외교 면에서 긴밀한 관계를 맺어왔을 뿐만 아니라 일대일로 참여국이 주요 시장이기에 관련 사이버 공격 활동의 간접적인 영향을 받을 수 있다”며, “파이어아이는 앞으로도 이 대규모 사업 이면에서 활동하는 사이버 공격을 추적해, 국내외 관계자들이 보안 태세를 갖출 수 있도록 할 것”이라고 말했다. ciokr@idg.co.kr

X