>
연구(Insikt)

중국 인민해방군 69010부대와 연계된 위협 활동 그룹 레드폭스트롯, 아시아 접경 국가를 표적으로 삼다

게시일: 2021년 6월 16일
작성자: Insikt Group

insikt-logo-blog.png

편집자 주: 다음 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.

이 보고서는 중국 국가가 후원하는 것으로 의심되는 위협 활동 그룹인 레드폭스트롯과 PLA 69010 부대와의 연관성을 프로파일링합니다. 이 활동은 대규모 자동 네트워크 트래픽 분석과 전문가 분석의 조합을 통해 식별되었습니다. 데이터 소스에는 레코디드 퓨처 플랫폼, 시큐리티 트레일즈, 도메인 툴, 폴리스웜, 파사이트, 일반적인 오픈 소스 도구 및 기법 등이 있습니다. 이 보고서는 사이버 공간에서 중국 군사 정보 부대의 활동과 관련된 전략 및 작전 정보에 종사하는 개인과 중앙아시아 또는 남아시아에 진출한 네트워크 방어자에게 가장 큰 관심을 끌 것입니다.

Executive Summary

레코디드 퓨처의 인식트 그룹은 레드폭스트롯으로 의심되는 중국 국가 후원 위협 활동 그룹과 중국 군 정보 기관, 특히 신장 우루무치에 위치한 인민해방군(PLA) 69010부대 사이의 연관성을 확인했습니다. 이 활동은 2015년부터 시작된 대대적인 조직 개편 이후 중국 국가안전부(MSS) 산하 단체에 대한 공개 보고가 주로 집중되었던 시기에 PLA의 운영 현황을 엿볼 수 있는 자료입니다. 

69010 부대는 인민해방군 전략지원군(SSF) 네트워크 시스템 부서(NSD) 내 정보 및 사이버전 분과인 기술정찰국(TRB)의 군부대 표지 지정자(MUCD)일 가능성이 높습니다. 인식트 그룹은 레드폭스트롯으로 의심되는 운영자의 허술한 보안 조치로 인해 위협 그룹을 69010 유닛 본부의 실제 주소와 연결했습니다. 공개적으로 입수 가능한 조달 및 법원 문서에 따르면 69010호기는 이 주소와 SSF에 모두 연결되어 있습니다. 여러 학술 논문에서도 이 부대가 사이버 임무를 수행한다는 가설을 뒷받침하고 있습니다. 

레드폭스트롯은 최소 2014년부터 활동했으며 주로 중앙아시아, 인도, 파키스탄의 정부, 국방, 통신 분야를 표적으로 삼고 있어 69010부대의 작전 수행 가능성과 일치합니다. 특히 지난 6개월 동안 인싯트 그룹은 인도 항공우주 및 방위 계약업체 3곳, 아프가니스탄, 인도, 카자흐스탄, 파키스탄의 주요 통신업체, 그리고 이 지역의 여러 정부 기관을 대상으로 한 레드폭스트롯의 네트워크 침입을 탐지했습니다. 레드폭스트롯은 대량의 운영 인프라를 유지하고 있으며, 중국 사이버 스파이 그룹이 일반적으로 사용하는 맞춤형 멀웨어와 공개적으로 사용 가능한 멀웨어 제품군(아이스포그, 플러그엑스, 로얄로드, 포이즌 아이비, 쉐도우패드, PC쉐어 등)을 모두 사용했을 가능성이 높습니다. 레드폭스트롯의 활동은 다른 보안 공급업체에서 추적하는 Temp.Trident 및 Nomad Panda와 같은 위협 그룹과 겹칩니다.

  • 이전에 란저우 군사 지역의 제2 기술 정찰국으로 알려진 PLA 69010 부대는 2015년 구조 조정에 따라 PLA-SSF의 네트워크 시스템 부서로 통합되었을 가능성이 높습니다.
  • 특정 인민해방군 부대와의 연관성이 확인되고 중국 사이버 스파이 그룹 특유의 공유된 사용자 지정 기능을 사용하는 것으로 보아 RedFoxtrot은 중국 국가가 후원하는 위협 활동 그룹으로 판단됩니다.
  • 2020년에 레드폭스트롯은 다른 여러 PLA 및 MSS 계열 위협 그룹과 함께 ShadowPad 백도어에 액세스했을 가능성이 높습니다.
  • 2015년 구조조정의 여파로 이전에 추적된 PLA 산하 사이버 스파이 그룹과 관련된 활동이 감소했는데, 이는 기존 활동 그룹이 해체되거나 새로운 클러스터를 형성하기 위해 합병했기 때문인 것으로 보입니다. 톤토팀, 틱, 나이콘, 레드폭스트롯 등 PLA로 의심되는 그룹의 지속적인 활동과 PLA와 연계된 것으로 의심되는 새로운 중국 위협 활동 그룹의 출현으로 인싯트 그룹은 중국 사이버 스파이 활동에 대한 관심이 높아졌음에도 불구하고 PLA 산하 그룹이 여전히 중국 사이버 스파이 활동 영역에서 두드러진 활동을 하고 있다고 생각합니다.

편집자 주: 이 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.

관련