중국과 연계된 그룹 레드에코, 국경 긴장이 고조되는 가운데 인도 전력 부문을 공략하다

편집자 주: 다음 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.

이 보고서는 중국과 연계된 위협 활동 그룹인 RedEcho가 인도 전력 부문을 대상으로 실시한 캠페인에 대해 자세히 설명합니다. 이 활동은 대규모 자동 네트워크 트래픽 분석과 전문가 분석의 조합을 통해 식별되었습니다. 데이터 소스에는 Recorded Future Platform, SecurityTrails, Spur, Farsight 및 일반적인 오픈 소스 도구와 기술이 포함됩니다. 이 보고서는 사이버 공간에서 인도와 중국의 활동과 관련된 전략 및 작전 정보에 종사하는 사람들이 가장 관심을 가질 것입니다.

레코디드 퓨처는 영향을 받은 조직 내에서 사고 대응 및 해결 조사를 지원하기 위해 침입이 의심되는 사실을 공개하기 전에 해당 인도 정부 부처에 알렸습니다.

Executive Summary

2020년 5월, 세계에서 가장 인구가 많은 두 나라 사이에서 45년 만에 처음으로 전투 사망자가 발생한 국경 충돌 이후 인도와 중국의 관계가 크게 악화되었습니다. 그 결과 2021년 1월 12일, 수브라마니암 자이샨카르 인도 외무장관은 인도와 중국 간의 신뢰가 "심하게 훼손되었다"고 발표했습니다. 외교적, 경제적 요인이 전면전을 막는 데 효과적이긴 했지만, 가장 최근에는 국경에서 양측의 교전으로 인해 사이버 작전은 잠재적으로 파괴적인 이유로 네트워크 내에서 스파이 활동을 수행하거나 선점할 수 있는 강력한 비대칭 능력을 국가들에게 계속 제공하고 있습니다.

2020년 초부터 레코디드 퓨처의 인식트 그룹은 중국 국가 지원 단체의 인도 조직에 대한 표적 침입 의심 활동이 크게 증가하는 것을 관찰했습니다. 2020년 중반 이후 Recorded Future의 중간 수집 결과, 인도 전력 부문의 광범위한 조직을 표적으로 삼아 ShadowPad 명령 및 제어(C2) 서버를 포함하는 AXIOMATICASYMPTOTE로 추적되는 인프라 사용이 급격히 증가한 것으로 나타났습니다. 전력 공급과 수요의 균형을 맞춰 전력망 운영을 담당하는 5개의 지역 부하 배전 센터(RLDC) 중 4곳을 포함한 10개의 인도 전력 부문 조직이 인도의 핵심 인프라에 대한 공동 캠페인의 표적으로 확인되었습니다. 그 밖에도 인도 항구 2곳을 포함한 다른 표적도 확인되었습니다.

선제적인 공격자 인프라 탐지, 도메인 분석, 기록된 미래 네트워크 트래픽 분석의 조합을 사용하여 이러한 AXIOMATICASYMPTOTE 서버의 하위 집합이 APT41 및 Tonto Team을 포함하여 이전에 보고된 여러 중국 국가 지원 그룹과 몇 가지 공통 인프라 전술, 기술 및 절차(TTP)를 공유한다는 사실을 확인했습니다.

인식트 그룹은 이전 그룹과 일부 겹치는 부분이 있지만, 현재 이 특정 캠페인의 활동을 기존의 공개 그룹으로 단정할 만한 충분한 증거가 없다고 판단하여 밀접하게 관련되어 있지만 별개의 활동 그룹인 RedEcho로 계속 추적하고 있습니다.