>
연구(Insikt)

중국 국영 활동 그룹의 인도 전력망 자산에 대한 지속적인 표적 공격

게시일: 2022년 4월 6일
작성자: Insikt Group

insikt-group-logo-updated-3.png

편집자 주: 다음 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.

이 보고서는 중국 국가가 후원하는 것으로 추정되는 위협 활동 그룹이 인도 전력 부문을 대상으로 수행한 캠페인을 자세히 설명합니다. 이 활동은 대규모 자동 네트워크 트래픽 분석과 전문가 분석의 조합을 통해 식별되었습니다. 데이터 소스에는 Recorded Future Platform, SecurityTrails, PolySwarm, Team Cymru의 Pure Signal™, 그리고 일반적인 오픈 소스 도구 및 기법이 있습니다. 이 보고서는 인도와 중국의 사이버 활동과 관련된 전략 및 작전 정보에 종사하는 사람들이 가장 관심을 가질 만한 보고서입니다. 레코디드 퓨처는 침입이 의심되는 사실을 공개하기 전에 해당 인도 정부 부처에 알려 영향을 받은 조직 내에서 사고 대응 및 해결 조사를 지원했습니다. 조기에 정보를 공유하고 협업해준 Dragos의 동료들에게 감사의 마음을 전합니다.

Executive Summary

2021년 2월, 레코디드 퓨처의 인식트 그룹은 인도의 전력망 내 운영 자산을 노린 침입 활동에 대해 보고했는데, 이 침입 활동의 배후는 RedEcho로 추적 중인 중국 국가 지원 위협 활동 그룹일 가능성이 높습니다. RedEcho 보고서 발표 후 잠시 소강상태를 보이다가, 중국과 연계된 공격자들이 비공개로 공유되는 모듈식 백도어 ShadowPad를 사용하여 인도 전력망 조직을 지속적으로 표적으로 삼는 것을 감지했습니다. 섀도우패드는 인민해방군(PLA)과 국가안전부(MSS)와 연계된 단체에서 계속 증가하고 있으며,처음에는자체 작전에서 도구를 사용한 것으로 알려진 MSS 계약업체와 관련이 있으며 이후에는 디지털 분기장 역할을 하는 것으로 보입니다. 

최근 몇 달 동안, 각 주 내에서 전력망 제어 및 전력 배전을 위한 실시간 운영을 담당하는 최소 7개의 인도 주 부하 발송 센터(SLDC)를 대상으로 한 네트워크 침입이 관찰되었습니다. 특히, 이러한 표적 공격은 지리적으로 집중되어 있으며, 확인된 SLDC는 분쟁 중인 인도-중국 국경인 라다크에 인접한 인도 북부에 위치해 있습니다. 이러한 SLDC 중 하나는 이전 RedEcho 활동에서도 표적이 된 적이 있습니다. 그러나 이번 침입은 거의 완전히 다른 피해 조직들로 구성되어 있습니다. 전력망 자산에 대한 표적 공격 외에도 동일한 위협 활동 그룹에 의해 국가 비상 대응 시스템과 다국적 물류 회사의 인도 자회사가 침해된 사례도 확인했습니다. 이를 위해 이 그룹은 인터넷에 연결된 DVR/IP 카메라 장치를 손상시키고 오픈 소스 도구인 FastReverseProxy(FRP)를 사용하여 섀도우패드 멀웨어 감염의 명령 및 제어(C2)를 수행한 것으로 보입니다.

2021년 2월부터 인도와 중국 간의 부분적인 병력 철수에도 불구하고 인도의 핵심 인프라에 대한 표적 공격이 장기화되면서 중국 적들의 사전 배치 활동에 대한 우려가 계속 제기되고 있습니다. 이 최신 활동은 이전에 확인된 RedEcho 활동과 타겟팅 및 기능의 일관성을 보여주지만, 몇 가지 주목할 만한 차이점도 있습니다. 현재로서는 RedEcho의 소행으로 볼 수 있는 기술적 증거를 확인하지 못했으며, 이 최신 활동을 임시 그룹명인 위협 활동 그룹 38(TAG-38)로 묶어 분류하고 있습니다.

주요 판단

  • 지난 18개월 동안 인도 내 국가 및 지역 부하 파견 센터에 대한 지속적인 표적 공격(처음에는 RedEcho에서, 현재는 이번 TAG-38 활동에서)을 고려할 때, 이러한 표적 공격은 인도 내에서 활동하는 일부 중국 국가 지원 위협 행위자들에게 장기적인 전략적 우선 순위일 가능성이 높습니다.
  • 중국 국가 연계 그룹이 인도 전력망 자산을 장기간 표적으로 삼으면서 경제 스파이 활동이나 전통적인 정보 수집의 기회가 제한되고 있습니다. 이러한 표적 공격은 중요 인프라 시스템을 둘러싼 정보 수집을 위한 것이거나 향후 활동을 위한 사전 포석일 가능성이 높다고 생각합니다.
  • 침입의 목적에는 향후 사용을 위한 역량 개발을 촉진하기 위해 이러한 복잡한 시스템에 대한 이해를 높이거나 향후 비상 작전에 대비하여 시스템 전체에 대한 충분한 액세스 권한을 확보하는 것이 포함될 수 있습니다.

인도 전력망 자산의 지속적인 타겟팅-fig1.png 그림 1: 상위 레벨 TAG-38 TTP 및 레코디드 퓨처 데이터 소싱 그래픽(출처: 레코디드 퓨처)

배경

인도 전력망 자산의 지속적인 타겟팅-fig2-1024x561.png 그림 2: 인도를 겨냥한 중국 국가 후원 단체와 지정학적 사건에 대한 Insikt의 연구 타임라인(출처: Recorded Future)

레코디드 퓨처의 과거 레드델타, 레드에코, 레드폭스트롯, 태그-28 및 추가 고객 대상 조사 보고서에서 자세히 설명한 것처럼 인도는 계속해서 중국 사이버 스파이 활동의 주요 표적이 되고 있습니다. 2021년 2월 라다크 지역에서 장기간의 국경 대치 이후 부분적인 병력 철수로 긴장이 완화되었지만, 각국의 영유권 주장과 관련하여 국가 간 진전은 제한적이었습니다. 

2021년 2월 RedEcho 보고서에서는 인도의 지역 부하 발송 센터(RLDC) 5개 중 4개, 항만 2개, 대규모 발전 사업자 및 기타 운영 자산을 포함한 10개의 개별 전력 부문 조직이 손상된 것을 강조했습니다. 이러한 자산은 경제 스파이 활동이나 기타 전통적인 정보 표적으로서 가치가 미미하기 때문에 중국의 전략적 목표를 지원하기 위해 네트워크 액세스 권한을 미리 확보하는 것이 목표일 가능성이 높다고 평가했습니다. 2021년 2월 보고서 이후, 우리는 그룹이 강조된 운영 인프라를 포기하고 인프라 운영 방식을 변경하는 것을 관찰했습니다. 그럼에도 불구하고 인도의 전력 자산과 중요 인프라에 연결된 조직이 중국 국가 지원 행위자들의 표적이 되었다는 증거는 계속되고 있습니다. 여기에는 최근 Dragos 보고서에서 설명한 활동과 일치하는 ShadowPad를 사용한 인도 관리 서비스 제공업체(MSP) 및 운영 기술(OT) 공급업체의 표적 공격이 포함되었습니다. 이 특정 활동은 위협 활동 그룹 26(TAG-26)으로 추적하는 별도의 활동 그룹에 속합니다. 인도의 여러 고가치 조직을 표적으로 삼은 TAG-26이 ShadowPad, 포이즌 아이비, 로열로드 RTF를 무기로 사용하는 것이 관찰되었습니다. 

중국 활동 그룹에서 ShadowPad의 사용은 시간이 지남에 따라 계속 증가하고 있으며, 새로운 활동 클러스터가 정기적으로 백도어를 사용하여 식별되고 이전에 추적된 클러스터가 지속적으로 채택하고 있습니다. 현재 저희는 APT41(BARIUM) 침입 세트와 연결된 MSS 연계 계약자가 원래 개발하여 사용한 것으로 평가되는 ShadowPad에 액세스하는 최소 10개의 개별 활동 그룹을 추적하고 있습니다.

편집자 주: 이 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.

관련