미국 연방수사국(FBI)은 기업 및 정부 기관 소유의 엣지 디바이스 및 컴퓨터 네트워크 침해와 관련된 조사와 관련하여 대중의 도움을 구했습니다.
기관은 “지능형 지속 위협 그룹이 전 세계 방화벽에서 민감한 데이터를 유출하기 위해 고안된 일련의 광범위한 무차별 컴퓨터 침입의 일환으로 악성 코드(CVE-2020-12271)를 생성하고 배포한 것으로 알려졌습니다.”라고 밝혔습니다.
“FBI는 이러한 사이버 침입에 책임이 있는 개인의 신원에 관한 정보를 찾고 있습니다.”
이번 개발은 사이버 보안 공급업체인 Sophos가 2018년부터 2023년까지 엣지 인프라 어플라이언스를 활용하여 맞춤형 악성코드를 배포하거나 탐지를 회피하기 위한 프록시로 용도를 변경한 일련의 캠페인을 기록한 일련의 보고서의 여파로 이루어졌습니다.
코드명이 Pacific Rim이고 감시, 방해 행위, 사이버 스파이 활동을 수행하도록 설계된 이 악성 활동은 APT31, APT41, Volt Typhoon을 비롯한 여러 중국 국가 후원 그룹의 소행으로 밝혀졌습니다. 가장 초기의 공격은 2018년 후반으로 거슬러 올라갑니다. 당시 Sophos의 인도 자회사 Cyberoam을 겨냥한 사이버 공격이 있었습니다.
소포스는 “적들은 원자력 공급업체, 수도의 공항, 군 병원, 국가 보안 기관, 중앙 정부 부처 등 주로 남아시아와 동남아시아의 크고 작은 중요 인프라와 정부 시설을 표적으로 삼았습니다.”라고 말했습니다.
후속 대규모 공격 중 일부는 Sophos 방화벽의 여러 제로데이 취약점(CVE-2020-12271, CVE-2020-15069, CVE-2020-29574, CVE-2022-1040 및 CVE-2022)을 활용하는 것으로 확인되었습니다. 3236 – 장치를 손상시키고 장치 펌웨어와 조직의 LAN 네트워크 내에 있는 장치 모두에 페이로드를 전달합니다.
“2021년부터 적들은 광범위한 무차별 공격에서 정부 기관, 중요 인프라, 연구 개발 조직, 의료 서비스 제공업체, 소매, 금융 등 특정 기관을 대상으로 하는 고도로 표적화된 ‘키보드 직접 조작’의 좁은 초점 공격으로 초점을 전환한 것으로 나타났습니다. 주로 아시아 태평양 지역의 군사, 공공 부문 조직”이라고 밝혔습니다.
2022년 중반부터 공격자들은 명령을 수동으로 실행하고 정교한 백도어 케이블인 Asnarök, Gh0st RAT, Pygmy Goat와 같은 악성코드를 배포하여 특정 조직에 대한 심층 접근, 탐지 회피, 더 많은 정보 수집에 노력을 집중한 것으로 알려졌습니다. Sophos XG Firewall 및 기타 Linux 장치에 대한 지속적인 원격 액세스를 제공합니다.
영국 국립사이버보안센터(NCSC)는 “피그미 염소는 새로운 기술을 포함하지 않지만 배우가 정상적인 네트워크 트래픽과 조화를 이루면서 필요에 따라 상호 작용할 수 있도록 하는 방식이 매우 정교하다”고 말했습니다.
“코드 자체는 깨끗하고 짧고 잘 구조화된 기능으로 향후 확장성을 지원하며 오류가 전체적으로 검사되어 유능한 개발자가 작성했음을 나타냅니다.”
공유 개체(“libsophos.so”)의 형태를 취하는 새로운 루트킷인 백도어가 CVE-2022-1040을 악용한 후 전달되는 것으로 밝혀졌습니다. 루트킷의 사용은 2022년 3월부터 4월 사이에 정부 장치와 기술 파트너에서 관찰되었으며, 2022년 5월에는 아시아에 있는 군 병원의 컴퓨터에서 다시 관찰되었습니다.
이는 청두에 있는 중국전자과학기술대학교(UESTC)와 링크를 공유하는 Tstark라는 이름으로 Sophos가 내부적으로 추적한 중국 위협 행위자의 작품인 것으로 추정됩니다.
이 기능에는 “감염된 장치에서 수신할 경우 공격자가 선택한 IP 주소에 대한 SOCKS 프록시 또는 역방향 쉘 역연결을 여는 특별히 제작된 ICMP 패킷을 수신하고 응답하는 기능”이 포함되어 있습니다.
Sophos는 Sichuan Silence Information Technology의 Double Helix Research Institute가 소유한 시스템을 포함하여 악성 익스플로잇 연구를 수행하기 위해 중국 위협 행위자가 소유한 장치에 자체 맞춤형 커널 임플란트를 배포하여 초기 단계에서 캠페인에 대응했으며 이를 통해 가시성을 확보했다고 밝혔습니다. 2020년 7월에 발생한 “이전에 알려지지 않은 은밀한 원격 코드 실행 익스플로잇”입니다.
회사는 2020년 8월 후속 분석을 통해 운영 체제 구성 요소에서 심각도가 낮은 인증 후 원격 코드 실행 취약점을 발견했다고 덧붙였습니다.
또한 Thoma Bravo 소유 회사는 관련이 있는 개인으로 의심되는 사람들로부터 “매우 도움이 되지만 의심스러운” 버그 바운티 보고서(CVE-2020-12271 및 CVE-2022-1040)를 두 번 이상 받는 패턴을 관찰했다고 밝혔습니다. 악의적으로 사용되기 전에 청두 소재 연구 기관에 문의하세요.
이번 조사 결과는 특히 쓰촨성 지역에서 활발한 취약점 연구 및 개발 활동이 진행되고 있으며 이후 서로 다른 목표, 역량 및 공격 후 기술을 사용하여 중국 정부가 후원하는 다양한 최전선 그룹에 전달된다는 점을 보여주기 때문에 중요합니다.
Chester Wisniewski는 “Pacific Rim에서 우리는 (…) 중국 쓰촨성의 교육 기관과 관련된 제로데이 익스플로잇 개발의 조립 라인을 관찰했습니다.”라고 말했습니다. “이러한 익스플로잇은 국가가 후원하는 공격자들과 공유된 것으로 보이며, 이는 취약성 공개법을 통해 이러한 공유를 의무화하는 국가에 적합합니다.”
엣지 네트워크 장치에 대한 표적화 증가는 캐나다 사이버 보안 센터(Cyber Centre)의 위협 평가와도 일치합니다. 전략적, 경제적, 외교적 이익.
또한 중국 위협 행위자들이 기밀 및 독점 정보를 수집하여 경쟁 우위를 확보하기 위해 민간 부문을 표적으로 삼고 위구르족, 티베트인, 민주화 운동가 및 대만 독립 지지자를 표적으로 삼는 ‘초국가적 탄압’ 임무를 지원한다고 비난했습니다.
중국의 사이버 위협 행위자들은 “지난 5년 동안 여러 정부 네트워크에 대한 액세스를 침해하고 유지하면서 통신 및 기타 귀중한 정보를 수집했습니다”라고 밝혔습니다. “공격자는 네트워크 정찰을 수행하기 위해 수신자에게 추적 이미지가 포함된 이메일 메시지를 보냈습니다.”
