중국 해킹 그룹, 글로벌 공격 재개 | VPNoverview.com

Fox-IT라는 네덜란드 보안 회사는 오늘 중국 사이버 스파이에 대한 조사 결과를 발표했습니다. 지난 2 년 동안 전 세계 수십 개의 회사 및 정부 기관의 컴퓨터 시스템이 공격을 받았습니다. 네덜란드는 중국 해킹 그룹이 공격의 배후에 있다고 확실하게 결론 내렸다..


글로벌 사이버 간첩 캠페인 발견

“Operation Wocao”(我 操,“Wǒ cāo”중국어,“똥”또는“망할”에 대한 속어)라는 이름의 조사는 거의 2 년에 걸쳐 진행되었습니다. 네덜란드 보안 연구원들은 모든 증거가 중국 정부의 이익을 위해 노력하고있는 APT20이라는 중국의 해킹 그룹에 있다고 지적.

Fox-IT는 2018 년 여름에 그룹의 해킹 캠페인을 발견 한 후 클라이언트 중 하나를 위해 손상된 컴퓨터 시스템을 분석했습니다. 그들은 흔적을 따라갈 수 있었고 같은 그룹이 수행 한 수십 가지의 유사한 공격을 발견했습니다..

길이 보고서에서 네덜란드 인은 다음과 같이 설명합니다. 이를 통해 우리는이 보고서에서 이전에 발표되지 않은 기술과 도구 중 일부를 확신을 가지고 APT20으로 알려진 중국의 위협 행위자에게 귀속시킬 수있었습니다. 이 행위자의 관찰 된 피해자를 바탕으로이 위협 행위자가 중국 정부의 이익을 위해 노력하고 있다고 평가합니다.”

목표는 돈이 아니라 지식이다

해커는 돈을 훔치거나 랜섬웨어를 설치하지 않습니다. 그들은 순수하게 비즈니스에 민감한 정보와 지식, 특히 중국 정부가 관심을 가질만한 정보를 찾고 있습니다.

지난 몇 년간 공격자가 수집 한 데이터의 양을 정확히 확인할 수 없습니다. 알려진 것은 2009 년에서 2014 년 사이에 APT20 (Violin Panda 및 th3bug라고도 함)은 대학, 군사, 의료 기관 및 통신 회사를 대상으로하는 해킹 캠페인과 관련이 있다는 것입니다..

Fox-IT에 따르면, 중국 해킹 그룹은 몇 년 동안 휴면 상태에있었습니다. 그러나 최근에 재 포장되었으며 회사 및 정부 기관을 조용히 타겟팅하고 있습니다..

사용 된 일부 소설 기법

이 보고서는 네덜란드 보안 연구원들이 APT20이 사용하는 기술에 대한 개요를 제공합니다. 초기 액세스 지점은 일반적으로 취약하거나 이미 손상된 웹 서버입니다. 일단 침입하면 해커는 잘 알려진 방법을 사용하여 네트워크를 통해 이동합니다. 결국, 그들은 도난 된 자격 증명을 사용하여 회사 VPN을 통해 피해자의 네트워크에 액세스 할 수 있습니다.

어떤 경우에는 해커 그룹이 그러한 공격을 막기위한 형태의 2 단계 인증을 우회 할 수도있었습니다. 이를 위해 해커는 2 요소 코드를 검색하여 회사의 VPN 서버에 연결하고 로그인 권한을 부여하는 기술을 개발했습니다. 다른 사용자 정의 도구도 발견되었습니다..

다음으로 해커는 여러 백도어 및 오픈 소스 도구를 사용하여 네트워크에 추가로 침투하여 정보를 수동으로 식별하고 수집했습니다. 데이터를 다운로드 한 후 심층적 인 포렌식 조사를 방해하기 위해 모든 흔적을 지우고 백도어를 닫았습니다..

전 세계 수많은 피해자

Fox-IT는 피해자의 이름을 언급하고 싶지 않습니다. 그러나 네덜란드는 APT20이 활성화 된 부문 목록을 제공했습니다.

피해자 중에는 항공 회사, 건설 회사, 에너지 부문, 금융 기관, 의료 기관, 해양 공학 회사, 소프트웨어 개발자 및 운송 회사가 있습니다..

영향을받는 국가에는 브라질, 중국, 프랑스, ​​독일, 이탈리아, 멕시코, 포르투갈, 스페인, 미국 및 영국이 포함됩니다..

중국 해킹 그룹의 몇 가지 실수

스파이 활동 중에 해커는 몇 가지 실수를하여 “지문”을 남겼습니다..

예를 들어,

  • 유출 된 언어 설정이 있는데, 해커가 중국어 설정으로 브라우저를 실행하고 있음을 나타냅니다..
  • 대여 한 서버를 등록 할 때 해커는 존재하지 않는 미국 주소를 제공했지만 실수로 루이지애나 주 이름을 한자로 썼습니다..
  • 한 시점에서 해커는 중국어 포럼에서만 찾을 수있는 코드를 사용했습니다..

얼마 후 네덜란드 보안 연구원들은 해커들이 중국 근무 시간을 엄격히 준수한다는 사실을 알게되었습니다..

Fox-IT의 조사“Operation Wocao”의 이름은 Fox-IT가 디지털 침입을 뒤집은 후 해커가 삭제 된 웹쉘에 액세스하려는 좌절 된 시도에서 실행 된 명령 중 하나였습니다..

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map