|
중국 해커들의 주변국 사이버 스파이 활동 증가 침해사고분석팀 2021.06.21 |
|
|
2014년까지 거슬러 올라가 주변 국가에서 군사 정보를 수집하는 데 초점을 맞춘 사이버 스파이 활동이 중국의 군사 정보 장치와 연결되어 있다.
이번 주 매사추세츠에 본사를 둔 Recorded Future가 발행한 보고서에서 사이버 보안 회사의 Insikt 그룹은 RedFoxtrot로 추적하는 그룹과 신장 위구르 자치구 수도인 우루무치현에서 활동하는 중국 인민해방군(PLA) 61010부대와의 연관성을 확인했다고 밝혔다.
이전에는 란저우 군사 지역의 제2기술정찰국으로 불렸던 69010부대는 중국 전략지원군(SSF) 네트워크 시스템부(NSD) 내 기술정찰국(Technical Reconciting Bure, TRB)의 군사정찰국이다.
[그림 1. Sercurity Intelligence Graph]
PLA 69010호기와 연결된 것은 연구원들이 이름 없는 RedFoxtrot의 위협 행위자가 채택한 "작전 보안 조치가 느슨하다"라고 말한 것에서 비롯되는데, 그의 온라인 인물은 정찰국의 물리적 주소를 공개하고 PLA의 전 통신사령부 아카데미와 제휴한 전력이 있다.
RedFoxtrot는 중앙아시아, 인도, 파키스탄의 3개 항공우주 및 방위사업청뿐 아니라 아프가니스탄, 인도, 카자흐스탄, 파키스탄의 주요 통신사업자와 정부 기관까지 지난 6개월간 침입해 정부, 국방, 통신 분야를 집중적으로 공략한 것으로 알려져 있다.
연구원들은 "이 기간의 활동은 인도와 중화인민공화국 사이의 국경 긴장이 고조되던 시기에 일어난 인도 목표물에 특히 초점을 맞춘 것을 보여주었다"고 말했다.
공격에는 PlugX, Royal Road RTF weaponizer, QUICKHEAL, PCSshare, IceFog, Poison Ivy RAT을 포함한 중국의 사이버 스파이 그룹 간에 공유된 다양한 오픈 소스 툴이 포함되었다.
또한 이전에 APT41에 귀속되어 이후에 다른 중국 국가 지원 행위자들 간에 공유된 섀도패드라고 하는 모듈식 윈도 백도어를 포함하는 AXIOMAYASYPEMOTTE 인프라의 사용도 관찰된다.
[그림 2. 중앙아시아와 남아시아를 타깃으로한 RedFoxtrot 활동의 Heatmap]
RedFoxtro에 의해 등록된 도메인("inbsnl.ddns[.]info", "adtl.mywire[.]org")은 위협 행위자가 인도의 통신 서비스 제공자인 Bharat Sanchar Nigam Limited(BSNL)와 Bengaluru에 기반을 두고 미사일, 레이더, 위성 시스템의 연구 및 개발을 전문으로하는 회사인 Alpha Design Technologies Limited(ADTL)을 목표로 했을 수도 있음을 시사한다.
이번 개발은 중국연계 위협단체인 RedEcho가 NTPC(National Thermal Power Corporation) Limited와 Power System Operation Corporation Limited가 운영하는 발전소를 포함하여 인도의 전력망을 표적으로 삼은 것으로 밝혀진 지 석 달여만이다.
출처 https://thehackernews.com/2021/06/cyber-espionage-by-chinese-hackers-in.html |
