칭화대 인프라에서 시작된 중국 사이버 스파이 활동
전체 분석 내용을 PDF로 다운로드하려면 여기를 클릭하세요.
범위 참고: 레코디드 퓨처는 티베트 커뮤니티를 노리는 새로운 멀웨어를 분석하여 멀웨어와 관련 인프라에 대해 자세히 분석했습니다. 소스에는 레코디드 퓨처의 플랫폼, 바이러스토탈, 리버싱랩스, 타사 메타데이터는 물론 일반적인 OSINT 및 네트워크 메타데이터 강화 기능인 도메인툴즈 아이리스, 패시브토탈 등이 있습니다. 이 연구는 중국 국가가 국내 위협에 대응하기 위해 사용하는 광범위한 정교한 기술을 조명하는 시리즈의 일부입니다.
Executive Summary
레코디드 퓨처의 인식트 그룹은 티베트 커뮤니티를 겨냥한 중국의 레드알파 캠페인을 발견한 이후, 같은 티베트인 피해자 그룹을 대상으로 배포된 'ext4'라는 새로운 리눅스 백도어를 발견했습니다. 백도어를 분석하여 중국의 엘리트 교육 기관인칭화1 대학교에 등록된 인프라에서 유출된 동일한 손상된 CentOS 웹 서버에 반복적으로 연결을 시도하는 것을 발견했습니다.
또한 동일한 칭화대학교 인프라에서 알래스카 주 정부, 알래스카 천연자원부, 나이로비 유엔 사무소, 케냐 항만청 등 여러 지정학적 기관을 대상으로 네트워크 정찰 활동이 수행되고 있는 것을 확인했습니다. 또한, 독일 자동차 다국적 기업인 다임러 AG가 미국과 중국 간의 무역 긴장 고조를 이유로 올해 수익 전망을 하향 조정한 지 하루 만에 시작된 표적 조사도 확인했습니다. 이러한 활동은 중국이 해당 국가 또는 단체와 경제 협력을 위해 대화하는 기간에 발생한 경우도 있습니다.
저희가 발견한 네트워크 정찰 활동은 중국의 경제 개발 목표를 지원하기 위해 중국 국가가 후원하는 행위자들이 수행한 것으로 중간 정도의 확신을 가지고 평가합니다.
주요 판단
칭화 IP 166.111.8[.]246은 알래스카, 케냐, 브라질, 몽골의 조직을 대상으로 네트워크 정찰을 수행했으며, 중국의 일대일로 이니셔티브(BRI)와 관련된 중국의 해외 인프라 프로젝트 투자에 대한 경제 대화 또는 홍보가 진행되는 시기에 활동했습니다.
5월 말 알래스카 주지사의 무역 대표단 중국 방문 이후 알래스카 조직에 대한 네트워크 정찰 활동이 증가했습니다. 정찰 활동의 표적이 된 조직은 석유 및 가스 등 무역 논의의 핵심에 있는 산업에 속해 있었습니다.
독일 자동차 다국적 기업인 다임러 AG가 미국과 중국의 무역 긴장이 고조되는 가운데 이익 경고를 발표한 지 하루 만에 표적이 된 것이 관찰되었습니다.
칭화 IP는 미국 소재 호텔의 초고속 인터넷 포털에 최소 한 번 이상 가입을 시도했습니다. 이는 취약한 WindWeb 서버를 실행하는 숙박 업계 내 Nomadix 인터넷 게이트웨이를 침해하려는 의도를 보여줄 수 있다고 낮은 신뢰도로 평가합니다.
칭화 IP는 고도로 정교한 백도어인 "ext4"로 손상된 티베트 네트워크에 반복적으로 연결을 시도했습니다.
'ext4'는 매시간 180초 동안만 손상된 네트워크로 들어오는 TCP 443 연결을 허용했으며, 패킷이 성공적으로 연결되려면 고유한 TCP 헤더 옵션 조합을 요구했습니다. 관찰된 20회 이상의 시도에서 칭화 IP는 백도어를 활성화하기 위한 올바른 TCP 옵션을 전송하지 않았습니다. 이렇게 제안했습니다:
칭화 IP에서 접속하는 위협 행위자는 올바른 "ext4" 백도어 연결 순서를 제대로 알지 못해 실수를 저지르고 있었습니다.
티베트 네트워크의 표적 공격은 'ext4' 백도어의 존재와 관련이 없으며, 칭화 IP가 수행 중인 광범위한 지정학적, 경제적 네트워크 정찰 활동에 따라 네트워크가 조사되고 있었습니다.
배경
중화인민공화국(중국)은 티베트에 대한 주권을 주장하며 모든 티베트 독립운동을 분리주의 위협으로 간주하고 있습니다. 중국은 티베트 공동체에 대해 다양한 형태의 강압을 가하고 있지만, 특히 긴장이 고조되는 시기에는 티베트인 표적에 대한 사이버 스파이 활동이 빈번하게 사용되고 있습니다. 고스트넷이라고 불리는 중국의 티베트 대상 사이버 스파이 활동은 2008년에 처음 알려졌습니다. 이는 국익을 위해 외국의 표적을 감시하려는 광범위한 시도의 일환이었습니다. 레코디드 퓨처의 최근 레드알파 보고서에서도 티베트인을 대상으로 한 사이버 스파이 캠페인이 다수 기록되어 있습니다.
칭화대학교는 베이징의 하이뎬구에 위치해 있습니다. '중국의 MIT'라고 불리는 이 대학은 중국 최고의 기술 연구 대학 중 하나입니다. 중국 대학은 종종 직간접적으로 중국 국가가 후원하는 사이버 역량과 연관되어 있습니다. 2015년에는 중국 동남대학교의 한 교수와 APT17 인프라가 연결되었고, 2017년에는 인민해방군(PLA)이 시안교통대학교와 협력하여 사이버 민병대 프로그램을 만들었습니다. 칭화대학교는 그 자체로 국영 기관이며 세계 최고의 연구 및 엔지니어링 학교 중 하나입니다. 칭화대 학생들의 공격적인 사이버 능력은 칭화대 소속으로 구성된 보안 연구팀인 Blue-Lotus를 통해 가장 잘 알려져 있습니다. 이 팀은 2016년 DEF CON의 깃발 뺏기 대회에서 2위를 차지했습니다.
칭화대학교의 연구 분교는 미국 기술을 훔친 전력이 있는 국가 기관과도 연결되어 있습니다. 칭화대 과학연구개발처는 2018년 5월 중국 공산당 회의 활동을 위해 중국 CITIC 그룹과 만나 국가 발전을 위한 기업과 연구기관 간의 전략적 협력에 대해 논의했습니다. 1999년 미국 국가안보 및 중국과의 군사/상업적 우려에 관한 선정위원회 (소위 '콕스 보고서')에서 CITIC는 중국 인민해방군의 비밀 작전과 미국의 민감한 기술 도용과 관련이 있다고 지적했습니다. 콕스 보고서는 또한 1990년 중국공산당이 미국의 수출 통제 항공 우주 기술에 접근하기 위해 중국공산당을 대신해 미국 항공기 부품 제조업체를 인수하려 했던 시도를 언급했습니다. 또한 CITIC의 전 회장인 왕젠은 1996년 폴리 테크놀로지스가 중국산 AK-47 소총 2,000정을 미국으로 밀반입하려다 기소된 사건에 연루된 바 있습니다.
칭화대학교 정보 시스템 및 공학 연구소는 중국의 국가 863 및 973 프로그램과도 공개적으로 제휴하고 있습니다. 국가 하이테크 발전 계획이라고도 하는 863 프로그램은 중국의 주요 기술 산업 내 국가 역량을 개발하는 데 중점을 두고 있으며, 1997년에 처음 수립된 973 프로그램은 주요 산업에서 기술 우위를 달성하는 데 필요한 기초 기술을 개발하는 데 중점을 두고 있습니다. 두 프로그램 모두 중국이 프로그램 목표를 달성하기 위해 지적 재산을 더 쉽게 훔칠 수 있도록 하는 효과를 가져왔습니다.
지난 10년 동안 중국의 국가 지원을 받는 수많은 사이버 위협 행위자들이 주요 전략 산업에서 과학적, 기술적, 경제적 이점을 확보하기 위해 중국의 정책 지시를 직접적으로 반영하는 광범위한 사이버 스파이 활동을 수행한 것으로 확인되었습니다. 이러한 활동은 가장 최근에는 관리형 IT 서비스 제공업체를 노린 APT10과 2017년에 인기 소프트웨어 제품인 CCleaner를 대상으로 대규모 공급망 공격을 수행한 APT17의 활동에서 관찰할 수 있습니다.
위협 분석
레코디드 퓨처는 티베트 커뮤니티를 표적으로 삼는 공격에 대한 지속적인 연구 중에 'ext4' 백도어의 존재를 발견했습니다. 이 백도어는 CentOS를 실행하는 Linux 웹 서버에서 실행되도록 구성되었으며 시스템 파일에 은밀하게 포함되도록 설계되었습니다. 백도어는 매시간 3분 동안 TCP 포트 443에서 들어오는 연결을 활성화하고 수락하는 시간 외에는 대부분 비활성 상태였습니다.
2018년 5월과 6월 사이에 레코디드 퓨처의 고유한 커버리지를 통해 총 23건의 동일한 손상된 CentOS 서버에 대한 연결 시도를 관찰할 수 있었습니다. 모든 시도는 동일한 IP인 166.111.8[.]246에서 시작되었으며, 중국 교육 및 연구 네트워크 센터로 확인되었습니다. WHOIS 기록에 따르면 해당 IP는 "칭화대학교"의 주소에 등록된 대규모 /16 CIDR 범위 내에 있는 것으로 나타났습니다.
아래 PCAP에서 볼 수 있듯이 칭화 IP에서 티베트 네트워크에 연결을 시도하는 모든 패킷에서 가능한 최대 세그먼트 크기인 60바이트로 설정된 TCP 헤더의 고유한 옵션이 관찰되었습니다.
"ext4" 코드는 온라인에서 코드나 이름 유사성에 대한 눈에 띄는 흔적이 없는 고유한 것으로 보입니다. 2018년 8월 3일 현재 주요 멀티스캐너 리포지토리에서 "ext4"의 주요 특징과 유사한 백도어 업로드가 관찰된 것은 저희 제출물 외에 없습니다. VirusTotal에서 0/58의 탐지율을 보인 "ext4" 샘플은 티베트 커뮤니티를 겨냥한 새롭고 독특한 백도어임을 확인했습니다.
"ext4" 바이너리에 대한 자세한 분석은 이 보고서의 기술 분석 섹션에서 확인할 수 있습니다.
칭화대학교 IP 166.111.8[.]246
여러 IP 강화 소식통에 따르면 이 IP는 2018년 3월 23일 레코디드 퓨처에서 처음 관찰되었으며, 중국 교육 및 연구 네트워크 센터(CERNET)로 확인되었습니다. CERNET은 중국의 6대 백본 네트워크 중 하나이며 중국의 학술 및 연구 기관을 위해 마련된 방대한 주소 지정 가능 IP 공간을 제공하는 총괄 기관입니다. 앞서 언급했듯이 WHOIS 기록에 따르면 해당 IP는 "칭화대학교"에 등록된 범위 내에 있는 것으로 확인됩니다.
사용 가능한 포트 스캔 데이터에 따르면 이 IP는 현재 PPTP (TCP 포트 1723), MySQL (3306), MAMP (8888) 등 여러 서비스가 활발히 실행되고 있으며, 보다 일반적인 OpenSSH (22), HTTP (80, 8080, 8008), SSL (443, 8443, 9443), VPN IKE (500) 서비스 등이 구성되어 있는 것으로 나타났습니다. 이 IP에서 관찰된 활동의 특성을 고려할 때 HTTP 포트는 역방향 프록시 또는 로드 밸런서인 NGINX 웹 서버로 구성된 것으로 보입니다. 개방형 포트와 관련 서비스가 많다는 것은 칭화 IP가 인터넷 게이트웨이 또는 VPN 엔드포인트일 수 있음을 나타냅니다.
향후 기록된 IP의 강화는 과거에 스캐닝, 무차별 대입 공격 및 적극적인 익스플로잇 시도의 원천이었던 것으로 나타났습니다. 중국발 악성 사이버 지표를 추적하는 대만 타이중시 교육국에 의해 플래그가 지정되고 AlienVault 블랙리스트에 등재되는 등 여러 위험 규칙이 발동되었습니다. IP에 대한 메타데이터 분석 결과 게이트웨이, NAT 또는 프록시일 가능성이 높으며 이 활동의 실제 발원 컴퓨터가 이 IP 뒤에 있다는 것을 알 수 있습니다.
당시 중국 국영 기업과 주요 무역 논의를 진행하던 조직에 대한 대규모 네트워크 정찰도 동일한 IP 주소에서 수행된 것으로 관찰되었습니다. 이러한 정찰 활동은 중국의 전략적, 경제적 이해관계와 광범위하게 일치하기 때문에 우연이 아니라고 생각합니다.
"기회 알래스카"
2018년 4월 6일부터 6월 24일까지 칭화 IP와 알래스카의 여러 네트워크 간에 100만 건이 넘는 IP 연결이 관찰되었습니다:
- 알래스카 커뮤니케이션 시스템 그룹
- 알래스카 천연자원부
- 알래스카 파워 & 전화 회사
- 알래스카 주 정부
- TelAlaska
칭화 IP와 위 조직 간의 방대한 수의 연결은 알래스카 네트워크의 포트 22, 53, 80, 139, 443, 769, 2816의 대량 스캔과 관련이 있으며, 취약점을 확인하고 불법적인 액세스를 얻기 위해 수행되었을 가능성이 높습니다. 스캔 활동은 위의 포트에 대해 조사 대상 조직 전용의 전체 IP 범위를 사용하여 체계적인 방식으로 수행되었습니다.
알래스카 주 정부의 이러한 표적 공격은 "기회 알래스카"라고 불리는 알래스카의 대규모 중국 무역 사절단 파견에 이은 것입니다. 5월 말에 진행된 이번 무역 사절단은 알래스카 주지사인 빌 워커가 이끌었습니다. 이번 회담에서 가장 주목받은 논의 중 하나는 알래스카와 중국 간 가스 파이프라인에 관한 것이었습니다. 미중 무역전쟁에 대한 우려에도 불구하고 워커 주지사 사무실은 이번 무역 사절단이 "알래스카가 제공하는 최고를 대표했으며... [우리의 최대 무역 파트너와의 광범위한 공동 관심사를 강조했습니다."라고 밝혔습니다. 기회 알래스카는 어업, 관광, 건축, 투자 업계에 종사하는 알래스카 기업 대표들로 구성되었으며 베이징, 상하이, 청두를 방문했습니다.
레코디드 퓨처가 알래스카 네트워크에 대한 스캔 활동을 처음 관찰한 것은 3월 말, 워커 주지사가 중국에 무역 대표단을 파견한다고 발표한 지 불과 몇 주 후였습니다. 이 활동은 대표단이 2018년 5월 20일에 도착하기 며칠 전부터 시작되었고, 대표단이 도착하자마자 중단되었습니다. 알래스카 네트워크에 대한 조사는 대표단이 활동을 마무리하는 5월 28일까지 낮은 수준을 유지하다가 대표단이 중국을 떠나면서 상당히 증가했습니다. 관련 주제에 대한 무역 논의가 마무리되는 시점에 스캔 활동이 급증한 것은 알래스카 방문에 대한 알래스카의 관점과 방문 후 협상에서 전략적 이점을 얻기 위한 시도였을 가능성이 높다는 것을 시사합니다.
6월 20일과 6월 24일 사이에 알래스카 주와 알래스카 천연자원부 네트워크에 대한 관심이 더욱 급증했습니다. 이는 6월 19일 워커 주지사가 미국과 중국 관리들을 만나 양국 간 무역 분쟁에 대한 우려를 제기하기 위해 워싱턴 DC를 방문하겠다고 발표한 데 따른 조치일 수 있습니다.
'일대일로 이니셔티브'와 중국의 경제 목표
또한 연구 과정에서 칭화 IP 스캔 포트를 관찰하고 몽골, 케냐, 브라질의 정부 부처 및 민간 기업 네트워크를 조사했습니다. 이들 국가는 모두 중국 일대일로 이니셔티브의 핵심 투자 대상국입니다.
중국의 일대일로 이니셔티브 (BRI)는 시진핑 주석이 가장 야심차게 추진하는 프로그램 중 하나입니다. 전 세계에 걸쳐 중국의 지정학적 영향력을 변화시킬 것으로 예상되는 이 프로젝트의 규모와 범위는 전례가 없는 수준입니다. 중국은 65개국의 인프라 및 개발 프로젝트에 4조 달러를 투자하여 전 세계 인구의 70%와 전 세계 에너지 매장량의 75%에 영향을 미치고 있습니다. 이 계획은 유라시아의 주요 경제 중심지를 육로와 해로를 통해 연결하기 위한 것으로, 역사적으로 2천 년 전 고대 실크로드의 역할을 했던 곳들이 다수 포함되어 있습니다.
디플로맷은"일대일로는 중국의 서쪽 주변을 안정시키고, 경제를 재점화하고, 비서방 국제 경제 기구를 추진하고, 다른 국가에 영향력을 행사하고, 미국의 아시아 중심축을 우회하면서 무역 공급자/루트를 다변화하는 것을 목표로 한다"고 설명합니다.
BRI는 또한 아프리카에서 중국의 지정학적, 경제적 영향력을 더욱 강화하여 아프리카 전역에 이루어진 막대한 인프라 투자를 활용하는 것을 목표로 합니다. 특히 케냐는 중국의 해상 실크로드 이니셔티브(MSRI)의 해상 기반 구성 요소인 중국의 일대일로 이니셔티브에서 전략적 지리적 이점을 가지고 있어 더욱 주목받고 있습니다.
올해 초 케냐는 BRI의 지역 프로젝트를 위해 로비를 벌이겠다고 발표했습니다. 중국은 이미 케냐의 항구 도시 몸바사와 수도 나이로비를 잇는 480킬로미터의 철도 건설에 자금을 지원했으며, 이 철도는 향후 주변 국가인 우간다, 르완다, 부룬디까지 확장될 것으로 예상됩니다. 그러나 2018년 5월 케냐는 동아프리카 공동체(EAC) 국가들과 논의 중이던 중국과의 자유무역협정을 체결하지 않겠다고 발표하면서 베이징과 나이로비 간의 긴장이 고조되었습니다.
2018년 6월 초, 칭화 IP 주소가 케냐의 모든 항구의 유지 및 운영을 담당하는 국영 기업인 케냐 항만청 전용 포트 22, 53, 80, 389, 443은 물론 다양한 케냐 인터넷 호스팅 제공업체와 통신 회사의 포트 22, 53, 80, 389, 443을 공격적으로 스캔하는 것을 관찰했습니다. 레코디드 퓨처는 또한 나이로비의 유엔 사무소, 케냐의 스트라스모어 대학, 더 광범위한 국가 교육 네트워크를 대상으로 한 네트워크 정찰 활동도 확인했습니다.
아래 차트는 칭화 IP에서 케냐 조직에 대한 네트워크 정찰 활동이 급증한 것을 보여줍니다. 이러한 급등세는 케냐가 중국-EAC 자유무역협정을 지지하지 않겠다고 발표한 지 불과 2주 만에 발생했습니다.
올해 4월 시진핑 주석 은 브라질을 중국의 인프라 투자를 받는 국가 목록에 추가했습니다. 북동부 마라냥 주에 5억 2천만 달러 규모의 새로운 항구에 대한 자금 지원이 발표되었으며, 이는 2016년 브라질의 다른 주 아마파의 교육 및 에너지 분야에 대한 중국의 대규모 투자에 기반한 것입니다.
저희 조사 결과, 베이징에 본사를 둔 중국통신건설유한공사가 마라나우 항구에 공사를 시작한 지 불과 한 달 뒤인 2018년 4월 2일부터 6월 11일 사이에 칭화 IP가 브라질 아마파주 공공부(Ministério Público do Estado Do Amapá)에 접속을 시도한 횟수가 반복적으로 발견된 것으로 나타났습니다.
또한 2018년 4월 6일부터 4월 12일 사이에 몽골 국립 데이터 센터 빌딩과 몽골 과학기술대학교와 같은 조직 네트워크에 연결하려는 시도가 반복적으로 관찰되었습니다. 몽골은 또한 중국의 BRI 계획에서 중요한 역할을 담당하고 있으며, 실크로드 경제 벨트(SREB)로 알려진 BRI의 육상 구성 요소는 새로운 유라시아 육상 교량과 중국-몽골-러시아 회랑을 포함한 5개 이상의 새로운 경제 회랑을 제안하고 있습니다.
우리는 케냐, 브라질, 몽골의 칭화 IP 프로빙 네트워크에서 관찰된 일관된 정찰 활동이 BRI 경제 개발 목표와 밀접하게 일치하며, 이 IP를 사용하는 위협 행위자가 중국 국가를 대신해 사이버 스파이 활동을 하고 있음을 입증한다고 중간 정도의 확신을 가지고 평가합니다.
미국과 중국의 무역 긴장 고조로 인한 영향
2018년 6월 20일, 독일의 다국적 자동차 기업인 다임러 AG는 미국과 중국 간의 무역 긴장이 고조됨에 따라 수익 전망을 하향 조정한 첫 번째 유명 기업이 되었습니다. 다음 날인 6월 21일에는 특히 다임러 AG로 연결되는 네트워크의 포트 139, 22, 443, 53을 대상으로 한 네트워크 정찰 활동이 관찰되었습니다. 프로브는 동일한 칭화대학교 IP에서 시작되었습니다.
미국 매니지드 호텔 네트워크 솔루션 제공업체와의 상호 작용
칭화 IP에 대한 쇼단 쿼리는 "snap.safetynetaccess.com"을 제공하는 HTTP 302 응답을 반환했습니다. 리디렉션 알림. 매사추세츠주 니덤에 본사를 둔 Safety NetAccess는 호텔, 리조트 및 기타 공공 건물을 위한 무선 네트워크를 구축하며, 고객사 중에는 Hilton, Marriott, Sonesta, Wyndham 호텔 체인도 있습니다. 세이프티 넷액세스 웹사이트에 따르면 SNAP는 세이프티 넷액세스의 에이전트가 "어느 위치에서든 모든 관리 장비에 직접 액세스할 수 있도록 하는" "고급 백엔드 소프트웨어 프로그램"입니다. 리디렉션 알림 내의 필드가 모호해 보일 수 있지만, 이는 Safety NetAccess의 기본 게이트웨이 및 라우팅 장비 제공업체인 Nomadix 인터넷 게이트웨이의 포털 페이지 매개변수에 해당합니다.
위의 HTTP 헤더 응답(위)은 원래 "가입자"(SIP)인 칭화 IP 166.111.8[.]246이 Cox Communications IP 98.180.88[.]145를 요청했음을 보여 줍니다. Cox Communications IP로 이동하면 플로리다주 오캘라에 위치한 홀리데이 인 호텔의 세이프티 넷액세스 게스트 인터넷 포털로 리디렉션됩니다.
HTTP 응답의 '위치' 필드에 있는 URL을 분석하면 칭화 디바이스의 MAC 주소(00:13:5F:07:87:D9)와 노마딕스 디바이스의 IP 주소(68.105.161[.]74)를 알 수 있습니다, URL에 UIP로 표시됩니다. 오픈 소스 조사에 따르면 이 UIP를 호스팅하는 장치는 플로리다 오캘라에 있는 콕스 커뮤니케이션으로, 매직 IP를 사용하여 DNS 및 HTTP 리디렉션을 지원하는 AG 3100 Nomadix 랙 마운트 인터넷 게이트웨이인 것으로 확인되었습니다. 이 UIP는 또한 포트 443에서 취약한 WindWeb 서버를 실행하는 것으로 보입니다. 쇼단 결과에는 인터넷 게이트웨이에 대한 실패한 FTP 로그인 시도와 텔넷 이벤트가 표시됩니다.
저희는 제한된 데이터로 볼 때, 칭화 IP가 플로리다의 홀리데이 인 호텔에 대해 Safety NetAccess의 SNAP 포털이 지원하는 원격 관리 액세스 제어를 활용하려고 시도한 것으로 낮은 신뢰도로 평가합니다.
"ext4" 백도어는 칭화 IP와 관련이 있나요?
티베트 디바이스에서 "ext4" 백도어를 발견함으로써 칭화대학교 IP에서 디바이스가 더 광범위하게 표적으로 삼고 있다는 사실을 확인할 수 있었습니다. 그러나 칭화 IP에서 티베트 디바이스로의 연결 시도가 백도어 활성화로 이어지지 않았기 때문에 광범위한 네트워크 정찰 활동의 배후에 있는 위협 행위자가 'ext4' 백도어도 사용했는지 여부는 불분명합니다.
따라서 칭화 IP를 사용하는 티베트 네트워크에 'ext4' 백도어가 관여한 두 가지 시나리오가 남습니다:
- 위협 행위자가 "ext4" 백도어에 액세스하기 위해 칭화 IP를 사용하고 있지만 기술적 결함 또는 운영자 오류로 인해 백도어와의 통신 설정에 필요한 TCP 연결 패킷이 잘못 구성되고 있습니다.
- 칭화 IP는 중국이 BRI에 따라 관여하고 있는 국가뿐만 아니라 티베트 네트워크와 같은 '오독2' 조직을 대상으로 전략적 경제 및 국익에 대한 네트워크 정찰과 사이버 스파이 활동을 수행하는 데 광범위하게 사용되고 있습니다. 따라서 'ext4' 백도어는 이 보고서의 앞부분에서 설명한 조직에 대한 네트워크 스캔 활동에 관여하지 않는 다른 위협 행위자의 것일 가능성이 높습니다.
기술 분석
"ext4" 백도어
"ext4"는 칭화 IP 정찰 활동이 관찰된 시기(2018년 5월~6월)에 피해 네트워크에 존재했던 새로운 Linux 백도어입니다. 이 기간 동안 칭화 IP에서 TCP 443을 통해 피해 기기에 접속을 시도한 횟수는 총 23회였습니다.
"ext4" 백도어는 티베트 커뮤니티와 관련된 손상된 CentOS 웹 서버의 합법적인 시스템 "cron" 파일 내에서 실행되는 것으로 확인되었습니다. 수정된 시스템 파일을 분석한 결과, "0anacron" "cron" 파일이 손상된 서버의 /usr/bin/ext4 디렉터리에 있는 "ext4"라는 비표준 바이너리를 실행하도록 수정된 것으로 밝혀졌습니다. 이 바이너리는 매시간 실행되도록 구성되었으며, 흥미롭게도 백그라운드 프로세스로 실행되었습니다. 이렇게 하면 Linux 터미널의 표준 출력에 출력이 표시되지 않으므로 웹 서버 관리자가 이를 감지할 수 없게 됩니다.
"ext4" 바이너리는 9511바이트에 불과한 비교적 작은 크기로 간단한 함수들로 구성되어 있습니다. 일반적으로 "네트워크 스니퍼"가 사용하는 패킷(pcap 파일) 을 캡처할 수 있도록 유닉스 시스템에 있는 libpcap 라이브러리에 동적으로 연결되었습니다.
백도어의 작동을 주도하는 세 가지 주요 함수가 있습니다: "main", "process", "my_pcap_handler". 이러한 모든 기능은 백도어의 주요 기능을 수행하기 위해 함께 작동합니다.
주요 기능
주요 기능은 세 가지 핵심 작업, 즉 "tmp/0baaf161db39" 파일을 제거하고, 백도어 기능을 실행하는 하위 프로세스를 만들고, 절전 타이머를 180초로 설정하는 작업을 수행했습니다. 절전 타이머 제한에 도달하면 프로세스가 종료됩니다.
또한 주 함수는 명령줄 인수를 확인하여 손상된 네트워크에서 모니터링할 네트워크 인터페이스를 결정합니다. 기본적으로 "ext4"는 "eth0"을 사용했습니다.
프로세스 기능
프로세스 함수의 주된 목적은 네트워크 트래픽을 캡처하기 위한 핸들을 만드는 것이었으며, 이는 "pcap_open_live"라는 libpcap 함수를 사용하여 수행되었습니다.
핸들이 생성되면 또 다른 libpcap 함수인 "pcap_loop"가 실행되어 "pcap_open_live"에 지정된 인터페이스로 전송된 모든 패킷을 처리하고 "my_packet_handler" 함수로 전송하여 전송된 패킷 유형에 따라 파싱하고 작업을 수행합니다.
"my_packet_handler" 함수
지정된 네트워크 인터페이스로 전송된 모든 패킷은 "my_packet_handler" 함수에 의해 수신됩니다. 그런 다음 핸들러는 이더넷, IP, TCP헤더3를 구문 분석하여 처리할 패킷인지 확인하기 위해 일련의 검사를 수행합니다. 유효성이 확인되면 이 함수는 페이로드를 디코딩하며, 일반적으로 손상된 CentOS 호스트의 bash 셸에 전달되는 명령입니다.
아래 단계는 함수가 올바른 패킷을 처리했는지 확인하기 위해 사용한 구문 분석 및 유효성 검사 기준을 보여줍니다. 함수가 예상치 못한 결과를 수신하는 경우, 해당 패킷은 함수에서 삭제되고 다음 패킷이 처리됩니다.
- 이더넷 헤더를 확인하여 유형이 IP(유형 2048)인지 확인합니다.
- IP 헤더 길이는 IP 헤더에서 구문 분석됩니다.
- IP 헤더를 구문 분석하여 프로토콜이 TCP(유형 6)인지 확인합니다.
- TCP 헤더를 구문 분석하여 대상 포트가 443인지 확인합니다.
- 데이터 오프셋 또는 페이로드의 시작을 찾습니다.
- TCP 플래그가 322와 같은지, 즉 다음 플래그가 설정되어 있는지 확인합니다: NS(Nonce Sum), ECE(ECN-Echo), SYN.
SYN 및 ECE와 NS 플래그가 설정되어 있는지 확인하므로 플래그의 분석이 중요합니다. NS 플래그는 TCP 발신자가 실수로 또는 악의적으로 표시된 패킷을 숨기는 것을 방지하는 데 사용됩니다.
ECE 플래그는 TCP 피어가 명시적 혼잡 알림(ECN)과 호환되는지 여부를 표시하는 역할을 합니다. ECN은 혼잡으로 인해 패킷이 삭제되는 것을 방지하는 TCP의 선택적 확장 기능입니다. ECN 지원 라우터가 있는 대기업에서는 ECN을 사용하는 것이 일반적일 수 있지만, NS 비트의 사용은 실험적인 것으로 보이며 어떤 TCP 구현에서도 공식적으로 사용되지 않습니다.
패킷이 모든 기준을 통과하면 이 함수는 페이로드의 길이를 가져와 5바이트에서 1024바이트 사이인지 확인합니다. 그런 다음 메모리를 할당하고 페이로드를 메모리에 저장합니다.
페이로드는 XOR 인코딩되며, 페이로드의 첫 바이트는 XOR 키입니다. 이 함수는 페이로드의 첫 바이트를 사용하여 다음 5바이트를 디코딩하고 "anti:" 문자열과 동일한지 확인합니다.
디코딩된 바이트가 "anti:"와 같으면 나머지 페이로드가 디코딩되어 마지막 인수로 전달되어 execl 호출을 사용하여 bash 명령을 실행합니다.
전망
중국은 "5대 독"으로 요약되는 국내 안정에 대한 위협을 모니터링하고 추적하기 위해 사이버 작전을 계속 사용하고 있습니다. 보안 연구원들은 국내 위협에 집중함으로써 박해받는 커뮤니티를 대상으로 공격적으로 사용되는 새로운 캠페인과 도구를 식별할 수 있습니다. "ext4"는 위협 행위자가 손상된 디바이스에 액세스하여 추가적인 악의적인 활동을 수행할 수 있도록 설계된 정교한 경량 Linux 백도어입니다. 이는 또한 중국 민족국가 행위자들이 티베트 커뮤니티를 표적으로 삼기 위해 사용하는 도구의 한 예이기도 합니다.
또한, 운영 시스템에서 패치가 적용되지 않고 사용되는 CentOS 서버가 광범위하게 사용되고 있다는 점은 잠재적인 공격 표면의 폭이 넓다는 점을 강조합니다.
중국의 일대일로 이니셔티브와 아프리카 인프라에 대한 장기적인 투자로 중국은 이러한 정책의 대상 국가에 막대한 영향력을 행사할 수 있게 되었습니다. 우리는 칭화대학교 인프라에서 발생하고 케냐, 몽골, 브라질의 경제적 이익을 목표로 하는 광범위한 네트워크 정찰 활동이 국가의 지시에 의한 것이라고 중간 정도의 확신을 가지고 평가합니다.
중국은 자국의 경제적 이익을 위해 사이버 스파이 활동을 반복적으로 수행해 왔습니다. 2017년 11월, 법무부는 경제 사이버 스파이 혐의로 중국 해커 3명을 기소했습니다. 또한, 미국 국가방첩보안센터는 최근 사이버 공간에서의 해외 경제 스파이 활동에 관한 보고서에서 중국의 위협 행위자인 APT10, KeyBoy, Temp.Periscope가 전략적 국가 및 경제적 이익을 위해 광범위한 사이버 스파이 활동을 수행했다고 강조했습니다.
티베트 커뮤니티를 표적으로 삼는 'ext4' 백도어를 발견한 것 외에는 이 보고서에서 문서화된 조직에서 멀웨어의 존재를 확인하지 못했는데, 이는 대부분의 분석이 타사 메타데이터를 기반으로 이루어졌기 때문입니다. 그러나 중국과 알래스카, 케냐, 브라질, 몽골의 양자 간 무역 및 전략적 대화 기간 동안 네트워크에 대한 표적 스캔 및 조사 활동은 중국 국가의 지시를 받은 위협 행위자(또는 동일한 칭화 엔드포인트에 액세스하는 여러 위협 행위자)가 수행한 것으로 중간 수준의 확신을 가지고 평가합니다.
네트워크 방어 권장 사항
레코디드 퓨처는 이 보고서에 자세히 설명된 중국 위협 행위자의 적대적인 네트워크 정찰과 잠재적인 CentOS 백도어 배포를 방어할 때 조직이 다음과 같은 조치를 취할 것을 권장합니다:
- 침입 탐지 시스템(IDS) 및 침입 방지 시스템(IPS)을 구성하여 칭화대학교 IP 166.111.8[.]246의 연결 시도를 경고하고 차단하세요.
- "ext4" 백도어에 대해 제공된 Yara 규칙을 사용하여 네트워크의 모든 Linux 호스트에서 백도어의 존재 여부를 검사합니다.
- 해당되는 경우, 조직에서 사용하는 엔드포인트 보호 어플라이언스에 "ext4" Yara 규칙이 배포되어 있는지 확인하세요. Linux 호스트에서 "/usr/bin/ext4" 및 "/tmp/0baaf161db39" 파일이 있는지 검색합니다.
또한 다음과 같은 일반적인 정보 보안 모범 사례 가이드라인을 따를 것을 권장합니다:
- 모든 소프트웨어와 애플리케이션, 특히 운영 체제, 바이러스 백신 소프트웨어, 핵심 시스템 유틸리티를 최신 상태로 유지하세요.
- 이메일 서신을 필터링하고 첨부 파일에 멀웨어가 있는지 면밀히 조사하세요.
- 시스템을 정기적으로 백업하고 네트워크를 통해 데이터에 액세스할 수 없도록 가급적 오프라인, 즉 외부에 백업을 저장하세요.
- 면밀한 사고 대응 및 커뮤니케이션 계획을 세우세요.
- 회사에 민감한 데이터의 엄격한 구분을 준수하세요. 특히 직원 계정이나 디바이스에 액세스할 수 있는 사람이 피싱을 통해 디바이스나 계정을 탈취하는 등 어떤 데이터에 액세스할 수 있는지 살펴보세요. 역할 기반 액세스, 회사 전체의 데이터 액세스 제한, 민감한 데이터에 대한 액세스 제한을 강력히 고려하세요.
- 호스트 기반 제어 사용 - 공격을 차단하기 위한 최선의 방어 및 경고 신호 중 하나는 클라이언트 기반 호스트 로깅 및 침입 탐지 기능을 수행하는 것입니다.
- 네트워크 IDS, 넷플로우 수집, 호스트 로깅, 웹 프록시와 같은 기본적인 사고 대응 및 탐지 배포와 제어를 구현하고 탐지 소스에 대한 인적 모니터링도 함께 수행하세요.
- 파트너 또는 공급망 보안 표준을 숙지하세요. 에코시스템 파트너를 위한 보안 표준을 모니터링하고 시행하는 것은 모든 조직의 보안 태세에서 중요한 부분입니다.
관련 침해 지표의 전체 목록을 보려면 이 분석의 PDF 버전에 있는부록을 참조하세요 .
1싱화대학교는로마자로 칭화대학교라고도 합니다.
2'오독'은위구르족, 티베트인, 파룬궁, 중국 민주화 운동, 대만 독립 운동 등 중국 공산당이 체제 안정에 위협이 된다고 여기는 요소입니다.
3참고로 부록 A에 이더넷, IP 및 TCP 헤더의 오프셋을 보여주는 표를 제공했습니다. 이 함수가 헤더를 구문 분석하는 방법을 따르는 데 사용할 수 있습니다.
관련