|
페이스북, 위구르족 활동가 공격하는 중국 해커 차단 침해사고분석팀 2021.03.25 |
|
|
페이스북이 중국의 지원을 받는 해킹 그룹을 차단했다. 이 해킹 그룹은 위구르족 활동가나 저널리스트들의 기기에 감시 목적의 악성코드를 배포하고 있다.
"그들은 중국의 Xinjiang부터 해외 여러 국가에서 살고 있는 위구르족의 활동가, 저널리스트, 반체제 인사들을 대상으로 공격하고 있습니다." 페이스북의 사이버 첩보 수석 연구원인 Mike Dvilyanski는 말했다. 이 그룹은 다양한 사이버 첩보 공격을 수행하여 활동가들의 신원을 확인하고 그들의 기기에 감시용 악성코드를 심었다. 이 해킹그룹은 Earth Empusa 나 Evil Eye로 추정된다. 그들은 현재는 차단된 페이스북 계정을 사용하여 표적들을 악성 웹 서버로 리다이렉션되어 워터링 홀 공격을 유도한다. 때로는 PoisonCarp 나 INSOMNIA로 알려진 .스파이웨어를 통해 공격 대상 기기를 감염시키는데 성공했다.
페이스북에서 이러한 공격들을 차단하기 이전에도 중국 해커들은 해외에 거주 중인 위구르족 활동가들을 대상으로 다양한 TTP 공격들을 진행했던 것으로 밝혀졌다. 공격 방식은 위구르족들에게 잘 알려진 뉴스 웹 사이트로 위장한 웹 사이트 공격이나 페이스북 계정과 같이 위구르족 학생이나 저널리스트를 가장한 SNS 계정을 악용하는 방식으로 공격을 진행했다. 뿐만 아니라 제 3의 앱 스토어를 구축하여 위구르족을 대상으로 트로이 형태의 앱의 다운로드를 유도했다.
페이스북은 Beijing Best United Technology 와 Dalian 9Rush Technology 이 두 회사가 이번 공격과 연관되어 있을 것이라고 보았다. 해킹 그룹이 이 회사에서 안드로이드 앱 개발과 관련해 아웃소싱을 해왔기 때문이다.
지난 12월, 페이스북은 외국 정부 및 법인, 저널리스트들을 대상으로 사이버 첩보 공격을 수행하는 것으로 알려진 베트남의 APT32 해킹 그룹을 공개했다. 추가로 APT32 해킹 그룹을 베트남 IT 회사인 CyberOne Group과 연관이 있을 것으로 추정하여 이 둘과 연관된 도메인을 모두 차단 리스트에 넣었다.
출처 https://www.bleepingcomputer.com/news/security/facebook-blocks-chinese-state-hackers-targeting-uyghur-activists/ |
