Offcanvas

��������� ������

“중국 APT 그룹, 최대 6개 백도어 활용해 공격 중” 카스퍼스키 경고

중국계 TA428 그룹이 공개된 취약성과 흔한 탐지 회피 기법을 사용해 다른 국가의 군사 및 정부 기관을 공격해온 사실이 확인됐다고 카스퍼스키가 밝혔다. TA428이라고 불리는 중국계 APT 그룹이 올해 초부터 우크라이나, 러시아, 벨라루스의 군산 복합체들과 공공기관을 노리고 있다. 아프가니스탄과 같은 다른 지역들도 공격 대상이다. 이 그룹은 최대 6개의 서로 다른 백도어를 배치하는 흥미로운 접근 방식을 보이고 있다. 이 그룹의 공격 캠페인을 조사한 바이러스 백신 공급업체 카스퍼스키 랩의 연구자들에 따르면, 그 목표대상에는 산업 공장, 설계부서, 연구소, 정부 부처, 기관, 부서들이 포함된다. 연구진은 보고서에서 “공격자들이 수십 개 기업에 침투하고 일부 기업의 IT 인프라까지 탈취해 보안 솔루션 관리용 시스템을 통제할 수 있었다. 이 사건들을 조사하면서 얻은 정보를 분석한 결과, 이 공격의 목적은 사이버 스파이 활동으로 보인다”라고 밝혔다.   TA428은 방산 조직을 공격한 전력이 있다 분석에 따르면 최근 캠페인에 사용된 6개의 백도어 프로그램 중, 5개는 이전에도 TA428에 의해 사용된 것들이다. 이 단체는 지난해 러시아와 몽골의 국방 관련 조직을 표적으로 삼았으며, 그 중 일부 공격이 다른 보안 회사들에 의해 포착된 바 있다. 그러나 중국에는 여러 APT 그룹이 있다. 특히 중국 정부와 관련이 있다고 여겨지는 그룹들은 서로 코드와 툴을 공유하는 경향을 가진다. 포트도어, nccTrojan, Logtu, Cotx, DNSep 등의 백도어 프로그램 중 일부를 사용했다고 해서 TA428의 소행이라고 단언하기는 어려운 셈이다. 그러나 백도어 프로그램 자체 외에도 과거에 TA428이 사용했던 기법과 지휘통제 서버에서도 중복되는 부분이 있으며, 다른 간접적인 증거도 있다. 악성 문서를 통한 목표대상 피싱  초기 감염 벡터는 대상 조직의 직원을 겨냥한 스피어피싱 이메일이다. 이러한 이메일 중 일부는 특정 프로젝트를 담당하는 직원의 이...

TA428 중국 APT 그룹 카스퍼스키 사이버 전쟁

2022.08.12

중국계 TA428 그룹이 공개된 취약성과 흔한 탐지 회피 기법을 사용해 다른 국가의 군사 및 정부 기관을 공격해온 사실이 확인됐다고 카스퍼스키가 밝혔다. TA428이라고 불리는 중국계 APT 그룹이 올해 초부터 우크라이나, 러시아, 벨라루스의 군산 복합체들과 공공기관을 노리고 있다. 아프가니스탄과 같은 다른 지역들도 공격 대상이다. 이 그룹은 최대 6개의 서로 다른 백도어를 배치하는 흥미로운 접근 방식을 보이고 있다. 이 그룹의 공격 캠페인을 조사한 바이러스 백신 공급업체 카스퍼스키 랩의 연구자들에 따르면, 그 목표대상에는 산업 공장, 설계부서, 연구소, 정부 부처, 기관, 부서들이 포함된다. 연구진은 보고서에서 “공격자들이 수십 개 기업에 침투하고 일부 기업의 IT 인프라까지 탈취해 보안 솔루션 관리용 시스템을 통제할 수 있었다. 이 사건들을 조사하면서 얻은 정보를 분석한 결과, 이 공격의 목적은 사이버 스파이 활동으로 보인다”라고 밝혔다.   TA428은 방산 조직을 공격한 전력이 있다 분석에 따르면 최근 캠페인에 사용된 6개의 백도어 프로그램 중, 5개는 이전에도 TA428에 의해 사용된 것들이다. 이 단체는 지난해 러시아와 몽골의 국방 관련 조직을 표적으로 삼았으며, 그 중 일부 공격이 다른 보안 회사들에 의해 포착된 바 있다. 그러나 중국에는 여러 APT 그룹이 있다. 특히 중국 정부와 관련이 있다고 여겨지는 그룹들은 서로 코드와 툴을 공유하는 경향을 가진다. 포트도어, nccTrojan, Logtu, Cotx, DNSep 등의 백도어 프로그램 중 일부를 사용했다고 해서 TA428의 소행이라고 단언하기는 어려운 셈이다. 그러나 백도어 프로그램 자체 외에도 과거에 TA428이 사용했던 기법과 지휘통제 서버에서도 중복되는 부분이 있으며, 다른 간접적인 증거도 있다. 악성 문서를 통한 목표대상 피싱  초기 감염 벡터는 대상 조직의 직원을 겨냥한 스피어피싱 이메일이다. 이러한 이메일 중 일부는 특정 프로젝트를 담당하는 직원의 이...

2022.08.12

“러는 교묘했고 우크라는 잘 견뎠다” MS 사이버전(戰) 보고서

지난주 마이크로소프트가 우크라이나 침공과 함께 시작된 러시아의 사이버 공격을 심층 조사한 결과를 발표했다. 이는 러시아의 악의적인 사이버 활동과 관련된 신선한 인사이트 그리고 전쟁을 둘러싼 교묘하고 광범위한 사이버 심리전의 새로운 세부사항을 담고 있다.  마이크로소프트의 사장 브래드 스미스는 지난 3월 이 회사가 인도주의적 기술 구호 활동에 자금을 지원하는 것 외에도, 우크라이나 정부 시스템의 사이버 보안 취약점을 식별하기 위해 ‘리스크IQ(RiskIQ)’ 플랫폼을 구축했다고 밝혔다. 이어 “공격자에게 발판을 제공할 수 있는, 즉 패치되지 않았으며 치명적인 CVE(Common Vulnerability and Exposure)가 있는 취약한 시스템 목록을 우크라이나 정부에 제공했다”라고 덧붙였다.  또한 이보다 앞선 1월 마이크로소프트의 보안 전문가는 약 70개의 우크라이나 정부 웹사이트를 다운시켰던 사전 침입 맬웨어 공격을 가장 먼저 발견했다. 이에 따라 새로 발견된 맬웨어 보호 기능을 마이크로소프트 365 디펜더 엔드포인트 보호(Microsoft 365 Defender Endpoint Detection)에, 안티바이러스 보호 기능을 온프레미스 및 클라우드에 배포했다.    스미스는 이번 보고서의 서문에서 어떤 전쟁이든 첫 방아쇠가 중요하다고 언급하며, 현 우크라이나 침공과 제1차 세계대전을 촉발시킨 1914년 오스트리아-헝가리의 황태자 프란츠 페르디난트 암살사건 사이에 유사점이 있다고 말했다. 러시아의 첫 공격은 전쟁이 시작되기 직전인 2월 23일, 우크라이나의 정부 및 금융기관을 타깃으로 한 폭스블레이드(Foxblade)라는 데이터 삭제 기능을 가진 맬웨어였다.  그는 “러시아의 우크라이나 침공 전략은 3가지로 구분된다. 1) 우크라이나 내부를 노린 사이버 공격, 2) 우크라이나 외부에서의 네트워크 침투 및 간첩 활동, 3) 전 세계 사람을 대상으로 하는 사이버 심리전이다”라고 전했다. 러시아 공격의 ...

사이버 보안 사이버 전쟁 사이버 공격 우크라이나 러시아 악성코드 맬웨어 취약점 사이버 심리전

2022.06.30

지난주 마이크로소프트가 우크라이나 침공과 함께 시작된 러시아의 사이버 공격을 심층 조사한 결과를 발표했다. 이는 러시아의 악의적인 사이버 활동과 관련된 신선한 인사이트 그리고 전쟁을 둘러싼 교묘하고 광범위한 사이버 심리전의 새로운 세부사항을 담고 있다.  마이크로소프트의 사장 브래드 스미스는 지난 3월 이 회사가 인도주의적 기술 구호 활동에 자금을 지원하는 것 외에도, 우크라이나 정부 시스템의 사이버 보안 취약점을 식별하기 위해 ‘리스크IQ(RiskIQ)’ 플랫폼을 구축했다고 밝혔다. 이어 “공격자에게 발판을 제공할 수 있는, 즉 패치되지 않았으며 치명적인 CVE(Common Vulnerability and Exposure)가 있는 취약한 시스템 목록을 우크라이나 정부에 제공했다”라고 덧붙였다.  또한 이보다 앞선 1월 마이크로소프트의 보안 전문가는 약 70개의 우크라이나 정부 웹사이트를 다운시켰던 사전 침입 맬웨어 공격을 가장 먼저 발견했다. 이에 따라 새로 발견된 맬웨어 보호 기능을 마이크로소프트 365 디펜더 엔드포인트 보호(Microsoft 365 Defender Endpoint Detection)에, 안티바이러스 보호 기능을 온프레미스 및 클라우드에 배포했다.    스미스는 이번 보고서의 서문에서 어떤 전쟁이든 첫 방아쇠가 중요하다고 언급하며, 현 우크라이나 침공과 제1차 세계대전을 촉발시킨 1914년 오스트리아-헝가리의 황태자 프란츠 페르디난트 암살사건 사이에 유사점이 있다고 말했다. 러시아의 첫 공격은 전쟁이 시작되기 직전인 2월 23일, 우크라이나의 정부 및 금융기관을 타깃으로 한 폭스블레이드(Foxblade)라는 데이터 삭제 기능을 가진 맬웨어였다.  그는 “러시아의 우크라이나 침공 전략은 3가지로 구분된다. 1) 우크라이나 내부를 노린 사이버 공격, 2) 우크라이나 외부에서의 네트워크 침투 및 간첩 활동, 3) 전 세계 사람을 대상으로 하는 사이버 심리전이다”라고 전했다. 러시아 공격의 ...

2022.06.30

사이버 공격에 국가가 ‘휘청’··· 코스타리카의 안타까운 교훈

코스타리카는 5년 전 개발한 사이버 전략을 제대로 도입하지 않았다. 그리고 현재 이에 대한 대가를 치르고 있다. 라틴 아메리카는 물론 전 세계 거의 모든 국가들에게 경종을 울리는 사례다.    코스타리카의 신임 대통령이 국가 비상사태를 선포했다. 하루에 약 3,800만 달러의 비용을 잡아먹는 한 위협이 지속됨에 따라서다. 예전 같으면 엄청난 자연 재해나 내부적인 갈등 때문이라고 추정했을 터다. 하지만 시대가 달라졌다. 코스타리카는 새로운 국가적 위기인 사이버 공격에 휘말렸다.  현대 인터넷이라는 새로운 정글 속에서 지구상의 모든 국가에게 사이버 공격 대응 활용이 일상화됐다. 불량 국가, 사이버 범죄 조직, 정치 운동가에서부터 그저 장난꾸러기 해커에 이르기까지 다양한 주체가 매일 매시간 다음 피해자를 찾고 있다.  국가의 정부 네트워크 역시 공격 대상에서 예외가 되지 않는다. 사실 정부 네트워크와 시스템에는 연방 및 민간 활동에 필수적인 개인 정보 등 값어치 있는 정보들이 존재한다. 이와 동시에 보안이 허술한 경우가 의외로 많다. 지난 4월 12일, 코스타리카 정부는 평소보다 높은 횟수의 사이버 공격에 직면했다. 사회 보장 서비스와 노동 서비스가 불안정해졌다. 애석하게도 시간이 지나면서 공격 빈도와 범위가 증가했다. 사실 이 안타까운 이야기는 그리 새롭지 않은 소식이다. 지난 10년간 국가에 대한 대규모 사이버 공격은 그리 이례적이기 않았기 때문이다. 정부에 대한 공격 외에도 무수히 많은 공격이 매일 기업과 개인들을 상대로 이루어졌다. 하지만 코스타리카의 경우 공격이 시작되고 30일이 지난 후 심각성이 한층 올라갔다. 신임 대통령이 위기를 이어받다 5월 8일, 국가 재정 시스템이 여전히 정상적으로 기능하지 못하는 상황에서 로드리고 차베스가 코스타리카의 대통령으로 취임했다. 5월 11일, 대통령으로서 차베스는 긴급 사태를 선포했다. 그는 이전의 코로나19 긴급 사태에 배정되었던 재정을 재할당하면서 해당 ...

코스타리카 사이버 테러 콘티 그룹 사이버 전쟁 사이버 공격

2022.06.02

코스타리카는 5년 전 개발한 사이버 전략을 제대로 도입하지 않았다. 그리고 현재 이에 대한 대가를 치르고 있다. 라틴 아메리카는 물론 전 세계 거의 모든 국가들에게 경종을 울리는 사례다.    코스타리카의 신임 대통령이 국가 비상사태를 선포했다. 하루에 약 3,800만 달러의 비용을 잡아먹는 한 위협이 지속됨에 따라서다. 예전 같으면 엄청난 자연 재해나 내부적인 갈등 때문이라고 추정했을 터다. 하지만 시대가 달라졌다. 코스타리카는 새로운 국가적 위기인 사이버 공격에 휘말렸다.  현대 인터넷이라는 새로운 정글 속에서 지구상의 모든 국가에게 사이버 공격 대응 활용이 일상화됐다. 불량 국가, 사이버 범죄 조직, 정치 운동가에서부터 그저 장난꾸러기 해커에 이르기까지 다양한 주체가 매일 매시간 다음 피해자를 찾고 있다.  국가의 정부 네트워크 역시 공격 대상에서 예외가 되지 않는다. 사실 정부 네트워크와 시스템에는 연방 및 민간 활동에 필수적인 개인 정보 등 값어치 있는 정보들이 존재한다. 이와 동시에 보안이 허술한 경우가 의외로 많다. 지난 4월 12일, 코스타리카 정부는 평소보다 높은 횟수의 사이버 공격에 직면했다. 사회 보장 서비스와 노동 서비스가 불안정해졌다. 애석하게도 시간이 지나면서 공격 빈도와 범위가 증가했다. 사실 이 안타까운 이야기는 그리 새롭지 않은 소식이다. 지난 10년간 국가에 대한 대규모 사이버 공격은 그리 이례적이기 않았기 때문이다. 정부에 대한 공격 외에도 무수히 많은 공격이 매일 기업과 개인들을 상대로 이루어졌다. 하지만 코스타리카의 경우 공격이 시작되고 30일이 지난 후 심각성이 한층 올라갔다. 신임 대통령이 위기를 이어받다 5월 8일, 국가 재정 시스템이 여전히 정상적으로 기능하지 못하는 상황에서 로드리고 차베스가 코스타리카의 대통령으로 취임했다. 5월 11일, 대통령으로서 차베스는 긴급 사태를 선포했다. 그는 이전의 코로나19 긴급 사태에 배정되었던 재정을 재할당하면서 해당 ...

2022.06.02

2012년, 사이버 전쟁의 해가 될 것인가?

사이버 전쟁에 대한 많은 예측들이 쏟아져 나오고 있다. 이미 시작됐다고 믿는 사람들도 많다. 그렇다면 보안 전문가들은 2012년 계획을 어떻게 세워야 할까?   사이버 전쟁 정의 자체가 혼란하다  우선 사이버 전쟁 행위는 어떻게 정의하는가? 중국이나 러시아에서 미국 전력망 가동을 중단시키는 정교한 해킹인가? 정부 사이트들에 침입하는 어노니머스(Anonymous) 같은 해커 집단인가? 지금 몇 년째 계속되고 있는 중국의 스파이 활동인가?   스턱스넷(Stuxnet)과 두쿠(Duqu)는 또 무엇인가? 이런 행위들 역시 이란에 맞섰던 미국과 이스라엘의 전쟁 행위였는가? 사이버 전쟁은 정부와 군 사이트에 관련된 것들로 제한되는가 아니면 사기업 네트워크까지 포함하는가?   이런 논쟁은 2012년에도 계속될 것이다. 보다 명확한 정의는 기대하지 않는 게 좋다. 아마도 그럴 일은 없을 것이다. 그렇지만 훨씬 국소적인 의미에서 국가간 온라인 전쟁이 어느 정도 실제로 있음을 증명하는 증거들은 지금도 충분히 나와 있다.    완벽한 지표들과 장황한 말들을 기다리기보다는 현존하는 사이버 전쟁 툴과 노하우들을 받아들이고 그에 따른 나름의 방어책을 세우는 편이 좋을 듯 싶다.    사이버 스파이, 이미 활동 중  지금껏 수 년 동안 각 정부들은 해커들을 이용해왔고 그들에게 컴퓨팅 인프라의 약점들을 통해 다른 국가들을 염탐하게끔 해왔다.    지난 2009년에는 필자의 동료인 그랜트 그로스가 중국과 러시아, 그리고 기타 국가 출신의 사이버 스파이들에 관해 기고한 바 있다. 그들은 미국 전력망에의 접근권을 획득해 해당 서비스를 중단하도록 설계된 악성코드 툴을 설치했다. 이런 행위의 동기를 확실히 파악하기는 어렵지만, 어쨌든 이를 전쟁 행위로 이해할 수는 있다.   2주...

스파이 사이버 전쟁 스카다 스턱스넷 두쿠

2011.11.30

사이버 전쟁에 대한 많은 예측들이 쏟아져 나오고 있다. 이미 시작됐다고 믿는 사람들도 많다. 그렇다면 보안 전문가들은 2012년 계획을 어떻게 세워야 할까?   사이버 전쟁 정의 자체가 혼란하다  우선 사이버 전쟁 행위는 어떻게 정의하는가? 중국이나 러시아에서 미국 전력망 가동을 중단시키는 정교한 해킹인가? 정부 사이트들에 침입하는 어노니머스(Anonymous) 같은 해커 집단인가? 지금 몇 년째 계속되고 있는 중국의 스파이 활동인가?   스턱스넷(Stuxnet)과 두쿠(Duqu)는 또 무엇인가? 이런 행위들 역시 이란에 맞섰던 미국과 이스라엘의 전쟁 행위였는가? 사이버 전쟁은 정부와 군 사이트에 관련된 것들로 제한되는가 아니면 사기업 네트워크까지 포함하는가?   이런 논쟁은 2012년에도 계속될 것이다. 보다 명확한 정의는 기대하지 않는 게 좋다. 아마도 그럴 일은 없을 것이다. 그렇지만 훨씬 국소적인 의미에서 국가간 온라인 전쟁이 어느 정도 실제로 있음을 증명하는 증거들은 지금도 충분히 나와 있다.    완벽한 지표들과 장황한 말들을 기다리기보다는 현존하는 사이버 전쟁 툴과 노하우들을 받아들이고 그에 따른 나름의 방어책을 세우는 편이 좋을 듯 싶다.    사이버 스파이, 이미 활동 중  지금껏 수 년 동안 각 정부들은 해커들을 이용해왔고 그들에게 컴퓨팅 인프라의 약점들을 통해 다른 국가들을 염탐하게끔 해왔다.    지난 2009년에는 필자의 동료인 그랜트 그로스가 중국과 러시아, 그리고 기타 국가 출신의 사이버 스파이들에 관해 기고한 바 있다. 그들은 미국 전력망에의 접근권을 획득해 해당 서비스를 중단하도록 설계된 악성코드 툴을 설치했다. 이런 행위의 동기를 확실히 파악하기는 어렵지만, 어쨌든 이를 전쟁 행위로 이해할 수는 있다.   2주...

2011.11.30

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13