Offcanvas

보안

파이어아이, 중국 ‘템프페리스콥’의 전 세계에 걸친 사이버 공격 작전 공개

2018.07.12 편집부  |  CIO KR
파이어아이가 중국 사이버 첩보조직인 템프페리스콥(TEMP.Periscope)의 활동 범위를 조사한 결과를 발표했다. 이에 따르면 템프페리스콥이 캄보디아의 선거 시스템과 관련된 다수의 기업체에 위협을 가하는 등, 캄보디아 정치 현황에 큰 관심을 보이고 있다는 사실이 드러났다. 또한, 캄보디아 선거 이외에도 동아시아, 미국, 유럽 등 전 세계에 걸쳐 사이버 공격을 가하고 있다는 사실을 확인했다고 회사 측은 전했다. 

템프페리스콥은 올해 7월 29일에 열릴 총선을 관리하는 캄보디아 정부 기관에 위협을 가할 뿐만 아니라 반대세력도 노리는 활동을 보였다. 템프페리스콥은 미국의 방위산업기지와 유럽의 화학회사 등, 다른 기존 타깃을 대상으로 한 다양한 공격 활동에도 동일한 악성 인프라를 사용했다.

이러한 활동은 템프페리스콥이 광범위한 침입구조 및 다양한 악성 툴을 통해 대규모의 피해자를 겨냥한다는 사실을 나타내며, 이는 전형적인 중국 기반의 지능형 지속 공격(advanced persistent threat, 이하 APT)과 동일 선상에 있는 것으로 보인다.

파이어아이는 이러한 조직활동이 중국정부에 캄보디아 선거와 국정운영에 대해 넓은 가시성을 제공한다고 예측한다. 또한 템프페리스콥은 동시다발적으로 여러 피해자 조직에게 대규모 침해공격이 가능하다.

파이어아이는 과거 템프페리스콥과 관련 있을 거라 추측한 툴셋을 관찰하고, 그들의 공격대상이 과거에 알려진 중국 기반 APT 조직과 밀접한 점을 발견했다. 또한 파이어아이는 명령 및 제어(command and control, C2) 서버에 원격으로 액세스 및 관리에 사용된 중국 하이난 소재의 IP 주소를 확인했다.



템프페리스콥은 2013년경부터 활동하기 시작했으며, 주로 해양 관련 엔지니어링 회사, 해운업, 제조업, 방위산업, 정부기관 및 학술조사 대학교 등을 공략해왔다. 이 조직은 전문 컨설팅 서비스, 하이테크 산업, 헬스케어, 매체 및 출판 기관 등을 공격 대상으로 삼은 경우도 있었다.

파이어아이는 템프페리스콥이 통제하는 것으로 의심되는 세 개의 인터넷 공개 목록 상의 파일들을 분석했으며, 이를 통해 조직의 목적, 공격 전략 및 수많은 기술 검증에 대한 정보를 확인했다. 세 가지 서버 모두 인터넷에 공개된 목록으로, 자격 정보가 없더라도 접근할 수 있었다. 공개된 공격 전략은 늦어도 2017년 4월경부터 캄보디아 선거에 가장 집중하고 있는 현재 시점까지 포함된 것으로 보인다.

세 개 서버의 로그를 조사한 결과, 중국 하이난에서 잠정적 사이버 공격자의 IP주소를 추적할 수 있었다. 또한 다양한 지역에 걸쳐 교육, 항공, 화학, 방위, 정부, 해양 및 기술 산업 분야 등의 피해 조직을 노린 악성코드와 컨트롤 체크인(control check-in)에 대한 정보도 발견했다. 서버의 파일들은 기존에 이미 확인된 악성코드인 ‘에어브레이크(AIRBREAK)’, ‘스캔박스(SCANBOX)’를 비롯해 ‘대드보드(DADBOD)’ 등 새로운 악성코드도 포함한다.

앞서 언급한 캄보디아 정부 기관 등을 노렸던 악성 인프라는 아시아, 유럽, 북미 지역의 교육, 항공, 화학, 해양, 기술 등 다양한 산업의 민간기업을 상대로도 사용되었다. 이 사이버 공격 중 많은 위협이 해양 및 방위 산업을 대상으로 한 템프페리스콥의 공격 활동과 비슷한 양상을 보이고 있다. 파이어아이는 아시아 지역에서도 활동하는 유럽 화학회사를 대상으로 한 사이버 위협 또한 발견했다. 이는 템프페리스콥이 템프페리스콥이 전 세계적으로 비즈니스의 위협이자, 특히 아시아 관련 사업에 위협적이라는 사실을 나타낸다.

파이어아이는 앞으로 템프페리스콥이 더 넓은 범위의 정부기관, 국제 기구 및 민간산업을 공략 할 것으로 예측했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.