4일 전

"올해 초 대규모 사이버 공격 배후는 中 국가보안부" 미국 및 동맹국 주장

Brian Cheon | CIO KR
미국, EU, 영국, 나토 소속 국가 및 여타 동맹국들이 올해 초 마이크로소프트 익스체인지 제로데이 취약점을 이용해 수천 곳의 조직을 대상으로 한 사이버 공격에 주체로 중국 국가보안부(MSS)를 지목했다. 미 법무부는 또 APT40이라고 불리는 사이버 스파이 그룹을 운영한 혐의로 MSS 장교 4명을 기소했다. 
 
Image Credit : Getty Images Bank


19일 공개된 기소장에 따르면 APT40 그룹은 하이난 지안둔 테크놀로지 디벨롭먼트라는 회사가 운영한다. MSS 산하 하이난 보안국(HSSD)의 대외 조직으로 추정되는 기업이다. 이 회사는 지역 대학과 협력해 전 세계 사이버 스파이 활동에 사용할 컴퓨터 해커 및 언어학자를 모집했다. 

또 2011년과 2018년 사이에 APT40은 중국 국영 기업을 위해 영업 비밀 및 기타 기밀 비즈니스 정보를 훔치는 것을 목표로 항공, 국방, 교육, 정부, 의료, 바이오 제약, 해양, 운송 및 학계를 포함한 다양한 산업의 조직을 공격했다. 미국, 오스트리아, 캄보디아, 캐나다, 독일, 인도네시아, 말레이시아, 노르웨이, 사우디아라비아, 남아프리카 공화국, 스위스, 영국에 소재한 조직들이었다. 

미 법부무는 “기소된 MSS 장교들은 목표를 달성하기 위해 하이난을 비롯한 중국의 여러 지역의 대학 직원 및 교수들과 협력했다. 이들 대학은 MSS가 해커와 언어학자를 식별하고 모집해 외국 대학의 학자 및 공격 대상 기업의 컴퓨터 네트워크에 침투하여 훔치는 것을 도왔다”라고 주장했다. 

APT40의 도구 및 기술
APT40은 악성 첨부 파일과 링크가 포함된 스피어 피싱 이메일을 주로 사용해 피해자의 네트워크에 대한 초기 액세스 권한을 획득한 것으로 전해졌다. 또 인기 소프트웨어의 취약점을 악용한 웹 사이트의 드라이브 바이 공격도 활용했다는 주장이다. 

이들이 공격을 위해 사용한 오픈소스 도구 및 맞춤형 맬웨어 프로그램으로는 BADFLICK/Greencrash, China Chopper, Cobalt Strike, Derusbi/PHOTO, Gh0stRAT, GreenRAT, jjdoor/Transporter, jumpkick, Murkytop, NanHaiShu, Orz/AirBreak, PowerShell Empire 및 PowerSploit 등이 포함된다. 

아울러 이 그룹은 토르(Tor)와 같은 IP 익명화 서비스를 사용해 감염된 시스템 및 손상된 계정에 접근했으며, 훔친 데이터는 드롭박스 및 깃허브와 같은 서비스의 계정으로 유출시켰다. 때로는 스테가로그래피(steganography ; 데이터를 다른 파일 내부에 숨기는 기법)을 이용해 탐지를 피한 것으로 전해졌다. 

19일 발표된 CISA와 FBI의 공동 자문에 따르면 ATP40은 프로토콜 터널링 기술과 다중 홉(multi-hop) 프록시도 사용했으며 명령 및 제어 서버는 타이포스쿼팅된(typosquatted) 도메인을 사용했다. 네트워크 방어자가 악의적인 활동을 감지하게 어렵게 만들기 위해서였다. 두 조직은 다음과 같은 보안 베스트 프랙티스를 권장했다. 

- 적시 패치 및 취약점 관리
- 즉시 패치할 수 없는 결함에 대한 보상 제어 사용
- 자격 요건 강화
- 다단계 인증 시행
- 신뢰할 수 있는 네트워크에서 원격 인증 감사
- 관리 명령 사용 기록
- 최소 권한 원칙 시행
- 무단 액세스에 대한 인터넷 연결 응용 프로그램 검사
- 중요한 변경 사항에 대한 서버 디스크 사용 모니터링
- DNS 쿼리 로깅 및 모니터링
- 윈도우 이벤트 로그 및 관리 네트워크 공유 매핑 모니터링

백악관은 19일 미디어를 대상으로 배포한 자료에서 “사이버 공간에서 중국의 무책임한 행동 패턴은 세계에서 책임 있는 지도자로 자리매김하겠다는 대외 목표와 일치하지 않는다”라고 지적했다. 아울러 중국 정부가 해커를 고용하는 행태는 물론, 외주 해커의 범죄 행위를 인정하지 않으려 한다고 비난했다.

한편 보안 기업 맨디언트는 미국을 비롯한 여러 정부의 주장에 대해 자사의 조사 결과와 일치한다고 밝혔다.

맨디언트 위협 인텔리전스 분석 담당 디렉터 벤 리드는 "올해 초 발생한 대규모 마이크로소프트 익스체인지 서버 탈취 사건에 대한 배후로 중국을 언급한 여러 정부 기관의 입장문은 맨디언트의 지난 조사결과와 일치한다. APT40과 하이난 섬에서 운영되는 중국 국가안전부(MSS) 사이 연결성 역시, 공격자가 그 위치에 있을 것이라는 맨디언트가 이전에 파악해온 것과 맞아 떨어진다"라고 말했다. 

그는 이어 "APT40과 APT31은 중국의 지원으로 운영되는 여러 그룹 중 두 곳일 뿐이며, 맨디언트는 이러한 그룹들이 전 세계 정부 및 민간 영역에 대한 위협을 지속할 것으로 예상한다"라고 전했다. ciokr@idg.co.kr
 



4일 전

"올해 초 대규모 사이버 공격 배후는 中 국가보안부" 미국 및 동맹국 주장

Brian Cheon | CIO KR
미국, EU, 영국, 나토 소속 국가 및 여타 동맹국들이 올해 초 마이크로소프트 익스체인지 제로데이 취약점을 이용해 수천 곳의 조직을 대상으로 한 사이버 공격에 주체로 중국 국가보안부(MSS)를 지목했다. 미 법무부는 또 APT40이라고 불리는 사이버 스파이 그룹을 운영한 혐의로 MSS 장교 4명을 기소했다. 
 
Image Credit : Getty Images Bank


19일 공개된 기소장에 따르면 APT40 그룹은 하이난 지안둔 테크놀로지 디벨롭먼트라는 회사가 운영한다. MSS 산하 하이난 보안국(HSSD)의 대외 조직으로 추정되는 기업이다. 이 회사는 지역 대학과 협력해 전 세계 사이버 스파이 활동에 사용할 컴퓨터 해커 및 언어학자를 모집했다. 

또 2011년과 2018년 사이에 APT40은 중국 국영 기업을 위해 영업 비밀 및 기타 기밀 비즈니스 정보를 훔치는 것을 목표로 항공, 국방, 교육, 정부, 의료, 바이오 제약, 해양, 운송 및 학계를 포함한 다양한 산업의 조직을 공격했다. 미국, 오스트리아, 캄보디아, 캐나다, 독일, 인도네시아, 말레이시아, 노르웨이, 사우디아라비아, 남아프리카 공화국, 스위스, 영국에 소재한 조직들이었다. 

미 법부무는 “기소된 MSS 장교들은 목표를 달성하기 위해 하이난을 비롯한 중국의 여러 지역의 대학 직원 및 교수들과 협력했다. 이들 대학은 MSS가 해커와 언어학자를 식별하고 모집해 외국 대학의 학자 및 공격 대상 기업의 컴퓨터 네트워크에 침투하여 훔치는 것을 도왔다”라고 주장했다. 

APT40의 도구 및 기술
APT40은 악성 첨부 파일과 링크가 포함된 스피어 피싱 이메일을 주로 사용해 피해자의 네트워크에 대한 초기 액세스 권한을 획득한 것으로 전해졌다. 또 인기 소프트웨어의 취약점을 악용한 웹 사이트의 드라이브 바이 공격도 활용했다는 주장이다. 

이들이 공격을 위해 사용한 오픈소스 도구 및 맞춤형 맬웨어 프로그램으로는 BADFLICK/Greencrash, China Chopper, Cobalt Strike, Derusbi/PHOTO, Gh0stRAT, GreenRAT, jjdoor/Transporter, jumpkick, Murkytop, NanHaiShu, Orz/AirBreak, PowerShell Empire 및 PowerSploit 등이 포함된다. 

아울러 이 그룹은 토르(Tor)와 같은 IP 익명화 서비스를 사용해 감염된 시스템 및 손상된 계정에 접근했으며, 훔친 데이터는 드롭박스 및 깃허브와 같은 서비스의 계정으로 유출시켰다. 때로는 스테가로그래피(steganography ; 데이터를 다른 파일 내부에 숨기는 기법)을 이용해 탐지를 피한 것으로 전해졌다. 

19일 발표된 CISA와 FBI의 공동 자문에 따르면 ATP40은 프로토콜 터널링 기술과 다중 홉(multi-hop) 프록시도 사용했으며 명령 및 제어 서버는 타이포스쿼팅된(typosquatted) 도메인을 사용했다. 네트워크 방어자가 악의적인 활동을 감지하게 어렵게 만들기 위해서였다. 두 조직은 다음과 같은 보안 베스트 프랙티스를 권장했다. 

- 적시 패치 및 취약점 관리
- 즉시 패치할 수 없는 결함에 대한 보상 제어 사용
- 자격 요건 강화
- 다단계 인증 시행
- 신뢰할 수 있는 네트워크에서 원격 인증 감사
- 관리 명령 사용 기록
- 최소 권한 원칙 시행
- 무단 액세스에 대한 인터넷 연결 응용 프로그램 검사
- 중요한 변경 사항에 대한 서버 디스크 사용 모니터링
- DNS 쿼리 로깅 및 모니터링
- 윈도우 이벤트 로그 및 관리 네트워크 공유 매핑 모니터링

백악관은 19일 미디어를 대상으로 배포한 자료에서 “사이버 공간에서 중국의 무책임한 행동 패턴은 세계에서 책임 있는 지도자로 자리매김하겠다는 대외 목표와 일치하지 않는다”라고 지적했다. 아울러 중국 정부가 해커를 고용하는 행태는 물론, 외주 해커의 범죄 행위를 인정하지 않으려 한다고 비난했다.

한편 보안 기업 맨디언트는 미국을 비롯한 여러 정부의 주장에 대해 자사의 조사 결과와 일치한다고 밝혔다.

맨디언트 위협 인텔리전스 분석 담당 디렉터 벤 리드는 "올해 초 발생한 대규모 마이크로소프트 익스체인지 서버 탈취 사건에 대한 배후로 중국을 언급한 여러 정부 기관의 입장문은 맨디언트의 지난 조사결과와 일치한다. APT40과 하이난 섬에서 운영되는 중국 국가안전부(MSS) 사이 연결성 역시, 공격자가 그 위치에 있을 것이라는 맨디언트가 이전에 파악해온 것과 맞아 떨어진다"라고 말했다. 

그는 이어 "APT40과 APT31은 중국의 지원으로 운영되는 여러 그룹 중 두 곳일 뿐이며, 맨디언트는 이러한 그룹들이 전 세계 정부 및 민간 영역에 대한 위협을 지속할 것으로 예상한다"라고 전했다. ciokr@idg.co.kr
 

X