다수의 중국 APT가 민감한 인프라 내부에 주요 교두보를 구축함

댄 구딘 - 2023년 8월 1일 오후 12:29 UTC

중국 정부를 위해 일하는 해킹 팀은 대부분 미국 소유인 민감한 인프라의 가장 먼 곳까지 파고들어 가능하다면 그곳에 영구적인 주둔지를 구축하려는 의도를 가지고 있습니다. 지난 2년 동안 그들은 국가 안보를 심각하게 위협할 수 있는 몇 가지 승리를 거두었습니다.

이전에는 명확하지 않았지만 지난 주에 발표된 세 가지 보고서를 통해 이를 충분히 확인할 수 있었습니다. 보안 회사인 Kaspersky가 발표한 보고서에서 연구원들은 지난 2년 동안 한 그룹이 산업 인프라 내부에 "데이터 유출을 위한 영구 채널"을 구축하기 위해 사용한 고급 스파이 도구 제품군에 대해 자세히 설명했습니다. 뉴욕타임즈(New York Times)가 일요일 발표한 두 번째 보고서에 따르면 중국 정부를 위해 일하는 다른 그룹이 전 세계 미군 기지에서 사용하는 중요 인프라 내부 깊숙한 곳에서 혼란을 일으킬 수 있는 악성 코드를 숨겼습니다. 해당 보고서는 마이크로소프트가 국무부와 상무부를 포함한 클라우드 고객 25곳의 이메일 계정이 침해된 사실을 폭로한 지 9일 만에 나왔습니다.

이러한 작전은 중국 정부 내부의 별도 부서에서 이루어지며 미국과 유럽 인프라의 다양한 부분을 표적으로 삼고 있는 것으로 보입니다. 지르코늄(Zirconium)이라는 이름으로 추적되는 첫 번째 그룹은 감염시키는 대상으로부터 데이터를 훔치려고 합니다. NYT에 따르면 볼트 타이푼(Volt Typhoon)으로 알려진 다른 그룹은 무력 충돌 발생 시 사용할 수 있도록 미군 기지 내부에 혼란을 일으킬 수 있는 장기적인 능력을 얻는 것을 목표로 하고 있습니다. 두 경우 모두, 그룹은 은밀하게 상점을 설립할 수 있는 영구적인 교두보를 만들기 위해 노력하고 있습니다.

Kaspersky가 2주 전(1부)과 월요일(2부)에 발표한 보고서에는 지르코늄에 모든 고급 기능을 제공하는 15개의 임플란트가 자세히 설명되어 있습니다. 임플란트의 기능은 해킹된 기계에 대한 지속적인 원격 액세스인 1단계부터 해당 기계 및 연결된 모든 에어갭 장치에서 데이터를 수집하는 두 번째 단계, 도난당한 데이터를 지르코늄 제어 장치에 업로드하는 데 사용되는 세 번째 단계까지 다양합니다. 명령 서버.

지르코늄은 중화인민공화국을 위해 활동하는 해킹 그룹입니다. 이 부서는 전통적으로 정부, 금융, 항공우주 및 방위 조직과 기술, 건설, 엔지니어링, 통신, 미디어 및 보험 업계의 기업을 포함하여 광범위한 산업 및 정보 기관을 대상으로 했습니다. APt31 및 Judgment Panda라는 이름으로도 추적되는 지르코늄은 국가를 대신하거나 국가의 일부로서 해킹하는 유닛인 APT(고급 지속 위협)의 한 예입니다.

Kaspersky 보고서에 따르면 대규모 라우터 공격이 발생한 것과 거의 동시에 Zirconium은 또 다른 주요 작업에 바쁜 것으로 나타났습니다. 그 작업에는 15개의 임플란트를 사용하여 표적 네트워크 깊숙히 강화된 민감한 정보를 찾아내는 작업이 포함되었습니다. 맬웨어는 일반적으로 DLL 하이재킹으로 알려진 방식으로 설치됩니다. 이러한 유형의 공격은 다양한 Windows 프로세스가 작동하도록 하는 DLL 파일에 악성 코드를 삽입하는 방법을 찾습니다. 악성코드는 주입 직전까지 RC4 알고리즘을 사용해 데이터를 암호화해 흔적을 숨겼습니다.

Kaspersky는 악성 코드의 웜 구성 요소가 이동식 드라이브를 감염시킬 수 있으며, 에어갭 장치에 연결하면 그곳에 저장된 민감한 데이터를 찾아서 복사할 수 있다고 밝혔습니다. 인터넷에 연결된 컴퓨터에 다시 연결하면 감염된 디스크 장치가 해당 컴퓨터에 기록합니다.

Kaspersky는 “조사 전반에 걸쳐 위협 행위자들이 탐지 및 분석을 회피하려는 고의적인 노력을 관찰했습니다.”라고 밝혔습니다. “그들은 별도의 바이너리 데이터 파일 내에 암호화된 형태로 페이로드를 숨기고 DLL 하이재킹과 일련의 메모리 주입을 통해 합법적인 애플리케이션의 메모리에 악성 코드를 삽입함으로써 이를 달성했습니다.”