>
연구(Insikt)

중국 인민해방군 61419부대, 악용 가능성 있는 외국 백신 제품 구매

게시일: 2021년 5월 5일
작성자: Insikt Group

insikt-logo-blog.png

레코디드 퓨처의 인식트 그룹은 인민해방군(PLA) 공식 군사 웹사이트와 기타 출처에서 6개의 조달 문서를 발견했으며, 이 문서에 따르면 PLA의 전략지원군(SSF), 특히 61419 부대가 미국, 유럽, 러시아의 주요 보안 업체로부터 안티바이러스 소프트웨어를 구매하려 했다고 합니다. 인민해방군 61419부대는 아래 나열된 보안 소프트웨어의 영어 버전을 구매하려고 했습니다(표 1). 이러한 제품의 영어 버전에 집중하는 것은 소프트웨어가 합법적으로 사용되거나 중국 내 개인 및 상업용 최종 사용자가 외국 백신 소프트웨어의 취약점에 노출될 가능성을 테스트하려는 경우 중국어 버전이 더 논리적인 선택이기 때문입니다.

인식트 그룹은 PLA의 외국 백신 소프트웨어 구매가 글로벌 백신 소프트웨어 공급망에 높은 위험을 초래한다고 평가합니다. 과거 캠페인과 전술의 패턴을 고려할 때, PLA가 외국 백신 소프트웨어를 악용할 가능성이 가장 높은 시나리오는 두 가지입니다:

시나리오 1: PLA 사이버 부대와 연계된 해킹 그룹이 자체 개발한 멀웨어의 테스트 환경으로 외국 백신 프로그램을 사용합니다. 이들은 외국 백신 제품을 통해 멀웨어를 실행하여 탐지를 회피하는 능력을 테스트함으로써 표적 피해자를 감염시키는 데 성공할 가능성을 높입니다.

시나리오 2: PLA 사이버 부대와 연계된 해킹 그룹이 외국 백신 소프트웨어 코드를 리버스 엔지니어링하여 이전에 공개되지 않은 취약점을 찾습니다. 그런 다음 새로 발견된 취약점을 제로데이 공격에 사용하여 초기 침입을 시도합니다.

조달 주문 날짜 제품 이름 구독 기간 사용자 수 공급업체 국가
2019년 1월 카스퍼스키 보안 클라우드 제품군 1 년 사용자 단말기 20개 러시아
2019년 1월 카스퍼스키 시큐리티 클라우드 개인용 1 년 사용자 단말기 10개 러시아
2019년 1월 비즈니스용 카스퍼스키 엔드포인트 보안 선택 1 년 사용자 단말기 10개 러시아
2019년 1월 카스퍼스키 엔드포인트 보안 클라우드 플러스 1 년 사용자 단말기 10개 러시아
2019년 1월 Avira Prime 1 년 사용자 단말기 10개 독일
2019년 4월~5월 비즈니스용 카스퍼스키 엔드포인트 보안 어드밴스드 2년 사용자 단말기 30대 러시아
2019년 4월~5월 맥아피 토탈 프로텍션 2년 사용자 단말기 30대 US
2019년 4월~5월 닥터웹 엔터프라이즈 보안 제품군 2년 사용자 단말기 30대 러시아
2019년 4월~5월 Nod32 ESET 멀티 디바이스 보안 2년 사용자 단말기 10개 슬로바키아
2019년 4월~5월 노턴 시큐리티 프리미엄 2년 사용자 단말기 10개 US
2019년 4월~5월 시만텍 엔드포인트 보호 구독 2년 사용자 단말기 10개 US
2019년 11월 트렌드마이크로 걱정 없는 서비스 고급 2년 사용자 단말기 10개 미국-일본
2019년 11월 소포스 인터셉트 X 2년 사용자 단말기 10개 UK
2019년 11월 비트디펜더 토탈 보안 2년 사용자 단말기 10개 루마니아
**표 1:** 인섹트 그룹이 발견한 조달 문서에 포함된 안티바이러스 보안 소프트웨어

인식트 그룹은 또한 다른 통신 기술 중에서도 시스코 라우터 인수와 관련하여 SSF가 발표한 계약 체결 공고를 발견했습니다. 이 문서는 많은 안티바이러스 조달 문서와 동일한 61419 부대와 관련된 연락처 주소를 사용합니다. 

아래 그림 1은 중국 군 조달 웹사이트에서 얻은 제품 목록의 샘플 스크린샷입니다:

중국-플라-단위-구매-항바이러스-익스플로잇-1-1.png 그림 1: 유닛 61419 조달 문서 제품 목록

과거 캠페인의 패턴

중국군의 컴퓨터 네트워크 악용에 대한 SSF의 역할이 영어권 외국 백신 소프트웨어 구매에 영향을 미쳤다고 평가하는 데는 여러 가지 요인이 있습니다:

중국은 2019년에 구매한 일부 외국 백신 소프트웨어를 포함하여 여러 사이버 침입 캠페인에서 소프트웨어 공급망을 악용하는 패턴을 보여주었습니다.

  1. 2017년에는 중국 국영 위협 행위자가 심은 악성 업데이트에 의해 227만 명 이상의 Avast CCleaner 사용자가 피해를 입었고, 그 결과 160만 대 이상의 컴퓨터가 1단계 Floxif 트로이 목마에 감염되었습니다. 피해자 중 일부가 스파이 활동을 위한 2단계 트로이 목마에 감염된 것으로 추정됩니다.
  2. 2019년 여름, 중국의 국가 지원 APT인 Tick Group이 두 개의 제로데이를 악용하여 트렌드마이크로의 Apex One 및 OfficeScan XG 기업용 보안 제품에 영향을 미쳤습니다.
  3. 2019년과 2020년에 미국 법무부는 전 세계 100개 이상의 기업에 영향을 미친 침입 캠페인으로 APT41로 알려진 중국 APT의 조직원 5명을 기소했습니다. APT41은 소프트웨어 공급업체를 침해한 다음 공급업체의 코드를 수정하여 소프트웨어 공급업체의 고객에 대한 추가 침입을 용이하게 합니다. 캠페인의 목표는 스파이 활동과 암호화폐 채굴이었습니다.
  4. 2019년 10월, Avast는 CCleaner 소프트웨어에 대한 두 번째 침해 사고를 발표했습니다. 이번에는 해커들이 2017년 침해 사고 이후 CCleaner 호스팅이 이전된 인프라를 성공적으로 침해했습니다. 체코 보안 정보 서비스(BIS)는 이 공격을 중국 위협 행위자의 소행으로 보고 있습니다.
  5. 2020년 10월, 구글의 위협 분석 그룹은 중국 국가가 후원하는 해킹 그룹 APT31이 바이러스 백신 회사 맥아피를 사칭하여 바이든 캠페인의 이메일 시스템을 표적 공격했다고 보고했습니다. 공격 대상은 GitHub에서 합법적인 버전의 McAfee Total Protection 안티바이러스 소프트웨어를 설치하라는 메시지를 받았고, 동시에 악성코드가 시스템에 설치되었습니다. 맥아피 토탈 프로텍션은 61419부대가 1년 전에 구입한 안티바이러스 패키지 중 하나입니다.
  6. 2021년에 Microsoft는 중국의 국가 지원 해킹 그룹인 HAFNIUM이 네 가지 제로데이 익스플로잇을 사용하여 Microsoft Exchange 서버에 액세스하고 웹 셸을 설치하여 전 세계 6만 개에 달하는 조직의 OWA(Outlook 웹 액세스)를 손상시켰다고 발표했습니다 .

또한 중국 정부는 2014년 외국 백신 소프트웨어 사용이 금지된 이후 합법적인 목적으로 외국 백신 소프트웨어를 사용하지 않고 있습니다. 2014년 8월, 국영 통신사인 인민일보는 중앙정부 조달부(中央政府采购部门)가 승인된 정보 보안 소프트웨어 공급업체 목록에서 카스퍼스키와 시만텍을 제외했다고 보도했습니다. 중국 당국은 중국에 본사를 둔 5개 회사의 사용을 승인했습니다: 치후 360 테크놀로지, 베누스테크, CA진첸, 베이징 장민, 라이징입니다. 중국 공안부는 2014년 6월 시만텍 소프트웨어에 외부 액세스를 허용할 수 있는 백도어 등 보안 취약점이 있다는 내용의 공지를 발표했습니다. 

PLA 유닛 61419는 누구인가요?

61419부대는 인민해방군(PLA) 전략지원군(SSF) 내 한 부대의 군부대 표지 지정자(MUCD)입니다. 공개적으로 이용 가능한 문서는 거의 없지만, 2011년 처음 확인되었을 때 이 부대의 업무 영역에는 일본과 한국을 중심으로 한 해외 신호 정보(SIGINT) 및 기타 사이버 작전 해석이 포함되었습니다. 프로젝트 2049 연구소의 연구원들은 61419부대를 중국 인민해방군 총참모부(GSD) 제3부(3PLA)의 제4작전국이라고 평가했습니다. 3PLA는 중국 통신 네트워크 모니터링, 중국 국내 컴퓨터 네트워크 보안 보호, 사이버 첩보 중심의 컴퓨터 네트워크 익스플로잇 (CNE) 수행 등 방어적 SIGINT를 광범위하게 담당했습니다. 2015년부터 GSD와 3PLA는 해체되었고, 그 역량과 초점은 적어도 부분적으로는 SSF의 네트워크 시스템 부서(NSD)로 재편되었습니다.

이 부서는 칭다오에 본사를 두고 있으며(위치는 아래에 자세히 설명되어 있습니다), 각각 자체 MUCD가 있는 여러 하위 사무소로 구성되어 있습니다. 이 지사는 칭다오와 주변 지역, 항저우, 베이징, 상하이에 위치해 있습니다. 이 중 하나인61680부대는 지모시(即墨市) 산하 온천진(温泉镇 ) 에 위치하고 있으며, 이곳에 훈련 센터가 있습니다. 61650 부대는 장비 조달을 위해 61419 부대와 동일한 주소를 사용하므로 이 부대가 하위 사무소임을 알 수 있습니다. 61789 부대도 하위 부대이며 상하이에 있을 가능성이 높습니다. 61419부대가 수행한 연구에는 2008년 미국의 '핵우산'의 한국에 대한 확장에 관한 논문과 의료 관련 주제가포함되어 있으며, 후자의경우 부대에 의료 부서가 있음을 시사합니다. 61419부대의 재산을 관리하는 부서는 군수부서이며, 대부분의 다른 인민해방군 부대와 마찬가지로 규율과 정치 교육은 정치부서에서 담당합니다. 61419부대는 산시성 신저우에 훈련 기지가 있을 수 있습니다.2

중국-플라-단위-구매-항바이러스-익스플로잇-2-1.png 그림 2: 인민해방군 전략지원군 엠블럼 최근 일본의 보도에 따르면 61419부대는 2016년과 2017년에 미쓰비시전기, 히타치, 게이오대학교, 히토쓰바시대학교, 일본우주항공연구개발기구(JAXA) 등의 기업에 대한 일련의 사이버 공격에 연루된 것으로 밝혀졌습니다. 61619부대원의 부인이 일본에 거주하는 중국인 유학생에게 가명을 사용해 서버를 임대하도록 지시한 것으로 알려졌습니다. 이러한 서버는 위에서 언급한 일부 사이버 공격에 사용되었습니다. 일본 언론은 일본 도쿄 경시청 공안국을 인용해 61419 유닛이 2016년과 2017년 사이버 공격의 배후로 확인된 틱 그룹 APT와 연관되어 있다고 주장했습니다. 현재로서는 61419 유닛에 대한 Tick 그룹의 명확한 귀속을 확인하기는 어렵지만, APT는 역사적으로 일본 표적에 집중해 왔습니다. 이는 61419 부대가 일본에 초점을 맞추고 있는 것과 일치합니다. 또한, 트렌드마이크로의 Apex One 및 OfficeScan XG 기업용 보안 제품에 영향을 미치는 제로데이를 악용한 Tick Group의 공격은 2019년 11월 트렌드마이크로의 Worry-Free Services Advanced에 대한 조달 공고가 발표되기 몇 달 전에 유닛 61419의 본사를 애플리케이션 제공 주소로 사용하는 SSF 부서에 의해 발생했습니다. 

이 보고서에서 확인된 일본 및 Tick Group의 사이버 공격과 조달 활동과의 잠정적 연관성을 고려할 때, 61419 부대는 적어도 부분적으로는 CNE 운영에 초점을 맞춘 SSF NSD 국으로 계속 운영될 가능성이 높습니다.

유닛 61419 찾기

인식트 그룹은 6개의 조달 문서에서 몇 가지 중요한 패턴을 발견했습니다. 6개의 문서 모두 일관된 연락 창구인 'Mr. 유'(于先生) - 전화번호와 함께 입력합니다.

문서 중 6개에는 산둥성 칭다오시의 동일한 연락처 주소가 기재되어 있습니다. 5 푸순로, 산둥성 칭다오시 스베이구, 우편번호 266034(山东省青岛市市北区抚顺路5号, 邮编266034), 아래 그림 5에서 볼 수 있듯이. 유닛 61419에 대한 모든 조달 문서는 이 주소를 사용합니다. 이 주소는 61650과 같이 61419 유닛에 종속된 다른 유닛에도 사용됩니다.

중국-플라-단위-구매-항바이러스-익스플로잇-3-1.png 그림 3: 조달 문서 신청 지침의 주소 스크린샷 조달 문서 외에도 Insikt Group은 푸순 로드에서 61419호기의 물류 부서가 영향을 받는 당사자로 명시된 2018년 정전 통지서를 발견했습니다. 그림 4의 공지에는 "35kV 푸순 도로 변전소|계획된 정전... 육군 61419 군수 부서가 2개 스테이션과 231개 지역 고객에게 영향을 미침"이라고 적혀 있습니다.

중국-플라-단위-구매-항바이러스-익스플로잇-4-1.png 그림 4: 2018년 정전 공지에 따르면 푸순로드 변전소는 PLA의 61419부대 물류부가 관리하는 시설의 전원으로 명시되어 있습니다.

바이두 지도에 따르면 5번 푸순루는 칭다오의 비하이위안 호텔(碧海园宾馆)이라는 호텔이 위치한 곳입니다. 5번 푸순 로드 조달 문서 중 일부는 이 호텔 또는 프런트 데스크에 직접 언급되어 있습니다(그림 7).

중국-플라-단위-구매-항바이러스-익스플로잇-5-1.png 그림 5: 비하이위안 호텔(碧海园宾馆) 거리 전경

중국-플라-단위-구매-안티바이러스-익스플로잇-6-1.png 그림 6: 비하이위안 호텔(碧海园宾馆) 및 인접 보안 검색대 및 게이트의 스트리트뷰

중국-플라-단위-구매-항바이러스-익스플로잇-7-1.png 그림 7: 조달 각주에서는 신청 자료를 비하이위안 호텔(碧海园宾馆)의 주소로 배송하도록 안내하고 있습니다.

레코디드 퓨처는 푸순로 5번지 주소가 61419부대의 본부이며, 비하이위안 호텔이 이 부대의 공공 얼굴이라고 평가합니다. 호텔 뒤에는 다른 PLA 부대의 본부와 비슷한 벽으로 둘러싸인 건물이 있습니다(그림 8). 이번 평가는 2011년 프로젝트 2049 연구소가 이 주소가 본부로 추정된다는 사실을 뒷받침하는 결과입니다.

중국-플라-단위-구매-항바이러스-익스플로잇-8-1.jpeg 그림 8: 인식트 그룹의 분석에 기반한 국 61419의 복합 건물 지도. 기본 컴파운드(빨간색으로 표시)는 다른 두 개의 게이트 시설(진한 빨간색으로 표시)과 인접하거나 공간을 공유합니다. 61419부대 건물이 어느 정도 분리되어 있는지, 그리고 내부 게이트의 보안 수준은 이용 가능한 위성 사진만으로는 알 수 없습니다.

예를 들어, 2016년 1월 미 육군 아시아 연구 분과에서 작성한 보고서에 따르면 징탕 호텔과 시즌스 호텔은 공격적인 사이버 작전을 포함한 전자 및 정보전을 담당하던 인민해방군 총참모부 제4부(4PLA)가 해체되어 SSF로 재편되기 전에는 징탕 호텔과 연결되어 있었다고 합니다.

제한된 증거에 따르면 PLA 부대가 위치를 감추기 위해 호텔을 사용하는 것으로 보입니다. 과거에 보고된 바에 따르면 플레이 사이버 및 전자 부서가 호텔 객실 한 층을 임대하여 운영하거나 본사로 사용했다고 합니다.

비하이위안 호텔이 61419 부대와 관련된 유일한 호텔도 아닙니다.  2018년 PLA 유닛 61789가 상하이 골든 호프 호텔 관리 유한회사를 상대로 제기한 소송. (上海金色希望酒店管理有限公司) (上海金色希望酒店管理有限公司)의 "군용 부동산 임대 계약 위반에 대해 제기된 소송" 에 따르면 2014년 61419 부대는 상하이 옌안 중로에 있는 건물을 호텔 관리 회사에 임대했습니다. 소송에 따르면 61789호기는 2017년 61419호기에 종속된 것으로 나타났습니다. 전 3PLA 제7작전국 61850부대도 분쟁의 당사자로 확인되었습니다. 임대 건물의 위치는 상하이 골든 호프 호텔이 이전에 호텔을 운영했던 상하이시 징안구 옌안중로 802번지였을 가능성이 있습니다.

권장 사항

위에서 설명한 글로벌 소프트웨어 공급망에 대한 중국의 국가 지원 착취 패턴과 중국이 정부 기관의 옵션으로 외국 백신 소프트웨어를 배제하는 것을 고려할 때, 표 1에 표시된 브랜드와 제품은 향후 악용될 수 있으므로 모니터링해야 합니다. 공격 시뮬레이션, 침투 테스트, 알려진 취약점 패치, 이러한 안티바이러스 제품과 관련된 비정상적인 트래픽 모니터링에 중점을 두어야 합니다.

레코디드 퓨처는 당사가 검토한 조달 문서에서 발생한 거래의 정확한 적법성을 평가할 수 있는 위치에 있지 않지만, 정보 보안 소프트웨어를 다루는 미국 상무부의 수출관리규정(EAR) 규정을 고려하여 영향을 받은 조직은 중국에 대한 보안 소프트웨어 판매에 대해 법률 자문을 구할 것을 권장합니다.

1 마크 스톡스, "중국 인민해방군 컴퓨터 네트워크 운영 인프라", 존 R. 린제이, 타이 밍 청, 데릭 S. 리본, "중국 인민해방군 컴퓨터 네트워크 운영 인프라", 존 R. 린제이, 타이 밍 청, 데릭 S. Reveron (eds.), 중국과 사이버 보안: 디지털 영역에서의 스파이 활동, 전략 및 정치, 옥스포드 대학 출판부: New York, NY, 2015, p. 171. 2 Ibid.

관련