소포스(Sophos), 네트워크 장치 공격하는 중국 해커와의 5년간의 전투 공개

Sophos는 오늘 “Pacific Rim”이라는 일련의 보고서를 공개했습니다. 이 보고서는 사이버 보안 회사가 Sophos의 제품을 포함하여 전 세계 네트워킹 장치를 점점 더 표적으로 삼으면서 중국 위협 행위자들과 어떻게 5년 넘게 논쟁을 벌여왔는지 자세히 설명합니다.

수년 동안 사이버 보안 회사는 중국 위협 행위자가 에지 네트워킹 장치의 결함을 악용하여 네트워크 통신을 모니터링하고, 자격 증명을 도용하거나, 중계 공격에 대한 프록시 서버 역할을 할 수 있는 맞춤형 악성 코드를 설치한다고 기업에 경고해 왔습니다.

이러한 공격은 Fortinet, Barracuda, SonicWall, Check Point, D-Link, Cisco, Juniper, NetGear, Sophos 등을 포함한 유명 제조업체를 표적으로 삼았습니다.

Sophos는 이러한 활동을 Volt Typhoon, APT31 및 APT41/Winnti로 알려진 다수의 중국 위협 행위자에 의한 것으로 밝혔습니다. 이들 모두는 과거에 네트워킹 장치를 표적으로 삼는 것으로 알려졌습니다.

Sophos는 해당 활동을 요약한 보고서에서 “5년 넘게 Sophos는 봇넷, 새로운 익스플로잇 및 맞춤형 악성 코드를 사용하여 Sophos 방화벽을 표적으로 삼는 여러 중국 기반 그룹을 조사해 왔습니다.”라고 설명합니다.

“다른 사이버 보안 공급업체, 정부 및 법 집행 기관의 지원을 통해 우리는 다양한 수준의 신뢰도를 가지고 관찰된 활동의 특정 클러스터를 Volt Typhoon, APT31 및 APT41/Winnti의 소행으로 간주할 수 있었습니다.”

소포스는 2018년 인도에 본사를 둔 소포스 자회사 사이버롬(Cyberoam)의 본사를 표적으로 삼으면서 위협 행위자들과 교전을 시작했다고 밝혔습니다. 연구원들은 공격자들이 네트워크 장치에 대한 공격을 연구하기 시작한 시점이 바로 이때라고 믿고 있습니다.

그 이후로 위협 행위자들은 엣지 네트워킹 장치를 표적으로 삼기 위해 제로데이 및 알려진 취약점을 점점 더 많이 사용했습니다.

Sophos는 제로데이 취약점의 대부분이 공급업체뿐만 아니라 중국 정부 및 관련 국가 후원 위협 행위자와 공유하는 중국 연구원에 의해 개발된 것으로 믿고 있습니다.

수년에 걸쳐 중국 위협 행위자들은 탐지를 회피하기 위해 메모리 전용 악성 코드, 고급 지속성 기술, 손상된 네트워크 장치를 대규모 ORB(Operational Relay Box) 프록시 네트워크로 사용하는 전술을 발전시켰습니다.

이러한 공격 중 상당수가 사이버 보안 연구원들을 방어에 나섰지만, Sophos는 공격에 나서서 손상된 것으로 알려진 장치에 맞춤형 임플란트를 심을 기회도 가졌습니다.

“X-Ops 분석가들은 원격 측정을 통해 X-Ops가 높은 확신을 가지고 Double Helix 개체에 속한다고 결론을 내린 장치를 식별했습니다.”라고 Sophos는 설명했습니다.

“법률 고문과 상담한 후 X-Ops는 표적 임플란트를 배포하고 공격자가 vim을 사용하여 간단한 Perl 스크립트를 작성하고 실행하는 것을 관찰했습니다.”

“가치가 낮기는 하지만 이번 배포는 공격자가 제어하는 ​​장치에 대해 거의 실시간으로 관찰할 수 있게 함으로써 인텔리전스 수집 기능을 보여주는 귀중한 시연 역할을 했습니다.”

이러한 임플란트를 통해 Sophos는 네트워킹 장치에 배포되는 것으로 관찰된 UEFI 부트킷을 포함하여 위협 행위자에 대한 귀중한 데이터를 수집할 수 있었습니다.

이 장치는 청두에 본사를 두고 해당 지역의 IP 주소로 원격 측정을 보내는 회사에서 구입했습니다. Sophos는 이 지역이 네트워킹 장치를 표적으로 하는 악성 활동의 진원지였다고 말했습니다.

Sophos의 여러 보고서는 매우 상세하며 이벤트 타임라인과 방어자가 공격으로부터 자신을 보호할 수 있는 방법에 대한 세부 정보를 공유합니다.

‘퍼시픽 림’ 연구에 관심이 있는 분들은 여기서 시작해보세요.