>
연구(Insikt)

랜섬웨어의 표적이 된 반도체 회사들

게시일: 2022년 9월 29일
작성자: Insikt Group®

insikt-group-logo-updated-3-300x48.png

편집자 주: 다음 게시물은 보고서 전문에서 발췌한 내용입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.

이 보고서는 2022년 현재까지 반도체 기업을 대상으로 한 랜섬웨어 공격을 조사합니다. 우리는 반도체 산업의 전략적 중요성과 점점 더 복잡해지는 지정학적 환경 속에서 반도체가 수행하는 고유한 역할을 분석했습니다. 또한 랜섬웨어 공격자들이 공격에 사용하는 전술, 기법 및 절차(TTP)도 확인했습니다.

Executive Summary

2022년 현재까지 랜섬웨어 공격자들의 공격을 받아 금전을 갈취당한 반도체 회사는 8개로 확인되었습니다. 이러한 공격에는 LockBit, LV 랜섬웨어, 쿠바 랜섬웨어가 사용되었으며, Lapsus$ 그룹과 랜섬하우스를 포함한 강탈 그룹이 수행했습니다. 각 그룹의 TTP와 공격의 가능한 동기를 분석했습니다. 또한 반도체 산업의 경제적, 전략적 중요성과 미국-중국-대만 및 아시아 태평양 지역 전체의 지정학에서 반도체가 차지하는 중요한 역할에 대해서도 살펴봤습니다. 이러한 복잡한 관계는 가까운 미래에 사이버 범죄와 국가 지원 단체의 반도체 산업에 대한 더 많은 사이버 공격을 예고할 수 있습니다.

주요 판단

  • 반도체 제조는 오늘날 정보 기술 중심의 글로벌화된 경제에서 중요한 산업으로, 랜섬웨어 위협 행위자 및 갈취 그룹의 주요 표적이 되고 있습니다.
  • 랜섬웨어 위협 공격자들은 반도체 회사를 공격할 때 다양한 TTP를 사용했습니다. 여기에는 멀웨어를 사용하여 데이터를 암호화하는 행위, 데이터 노출 위협을 통한 갈취, 소스 코드 및 지적 재산 공개, 도난당한 코드 서명 인증서를 사용하여 멀웨어에 서명하는 행위, 업계 경쟁사나 경쟁 국가에 독점 데이터를 판매할 가능성 등이 있습니다.
  • 랜섬웨어 위협 행위자의 동기는 순전히 금전적 목적부터 스릴 추구, 지적 재산의 전략적 도용 가능성까지 다양합니다.
  • 여기서 분석한 반도체 기업을 대상으로 한 사이버 공격 중 국가 그룹과 직접적으로 연관된 사례는 없지만, 업계 보고서에 따르면 국가가 지원하는 위협 행위자들이 랜섬웨어 그룹으로 가장하고 최소 5개의 랜섬웨어 변종(LockFile, AtomSilo, Rook, Night Sky, Pandora)을 사용하여 사이버 스파이 활동을 벌이는 것으로 밝혀졌습니다.
  • 대부분의 경우, 부실한 보안 관행으로 인해 랜섬웨어 공격자에 의해 초기 침해가 발생하여 데이터와 정보가 도난당하는 경우가 많습니다.
  • 반도체 패권 경쟁은 중국과 대만 간의 경제 경쟁의 핵심이기 때문에 반도체 기업에 대한 사이버 공격과 산업 스파이 활동은 계속될 것으로 보입니다.

배경

제조 리더십 위원회에 따르면, 2021년 랜섬웨어 조직은 모든 산업 부문에 대한 공격 강도를 높였습니다. 제조업은 2021년 전체 산업 랜섬웨어 사고의 65%를 차지했으며, 이는 두 번째로 많은 산업 분야(식음료)의 약 6배에 달하는 수치입니다. 반도체 제조는 2021년에 가장 큰 영향을 받은 하위 분야 중 하나로 꼽히지 않았지만, 2022년에는 현재까지 반도체 기업을 대상으로 한 8건의 사이버 공격이 발생했으며, 이는 LockBit, LV 랜섬웨어, 쿠바 랜섬웨어 등 랜섬웨어 조직이나 갈취 그룹인 랜섬하우스와 랩서스 그룹에 의해 이루어졌습니다.

연구 결과, 반도체 기업에 대한 공격은 반드시 랜섬웨어 운영자가 수행한 것이 아니라 서비스형 랜섬웨어(RaaS) 및 이중 갈취 모델을 사용하는 계열사가 수행한 것으로 나타났습니다. 콘티, 락빗, 레빌 등 대부분의 상위 랜섬웨어 조직은 쉽게 구할 수 있는 툴킷을 사용하여 랜섬웨어 공격을 실행하고 랜섬 지불에 성공할 때마다 일정 비율의 수익을 얻는 RaaS 비즈니스 모델을 채택하고 있습니다. RaaS를 사용하면 높은 수준의 기술 전문 지식이 없는 위협 행위자도 공격을 시작하고 실행할 수 있습니다. 또한, 앞서 언급한 모든 랜섬웨어 조직은 각자의 랜섬웨어 블로그에 피해자의 데이터를 유출하는 이중 갈취 전술을 채택했으며, 이는 이들 랜섬웨어 조직이 상당수의 피해자가 요구한 몸값을 지불하도록 하는 데 성공하지 못했음을 시사합니다. 이 보고서에서 분석된 대부분의 피해자가 이러한 사례에 해당합니다. 또한 반도체 회사를 표적으로 삼아 랜섬웨어를 사용하지 않고 금품 갈취를 위협하는 위협 행위자들도 확인했습니다. 이는 의도와 의지가 있는 기술적 위협 행위자와 비기술적 위협 행위자 모두 반도체 기업을 표적으로 삼고 있음을 보여줍니다.

반도체는 스마트폰, 컴퓨터, 자동차, 가전제품, 텔레비전, 첨단 의료 진단 장비 등 전자 기기의 핵심이므로 반도체 부문에 차질이 생기면 다른 모든 제조 분야에 영향을 미칠 가능성이 높습니다. 랜섬웨어 공격자들은 반도체가 글로벌 경제에서 차지하는 중요성 때문에 반도체 회사를 고부가가치 표적으로 보고 언론 보도를 활용하여 피해 조직이 협상을 통해 몸값을 지불하도록 압력을 가하는 것으로 추정됩니다.

반도체 제조업체들은 전 세계 수요를 따라잡기 위해 고군분투하고 있으며, 그 결과 2020년부터 칩 부족 현상이 지속되고 있습니다. 금전적 동기를 가진 랜섬웨어 조직이 이 기회를 이용해 반도체 기업을 표적으로 삼고 있는 것으로 보이며, 반도체 기업의 운영 중단은 이미 코로나19 팬데믹으로 인해 압박을 받고 있는 글로벌 공급망에 파급 효과를 가져와 피해 기업이 몸값을 지불할 가능성이 높아지기 때문입니다. 또한, 글로벌 공급망을 교란하려는 의도를 가진 범죄 조직이나 국가적 위협 행위자는 반도체 산업을 표적으로 삼아 이를 수행할 수 있습니다. 국가 지원 단체가 범죄 단체의 랜섬웨어를 사용하여 반도체 제조 부문에 대한 신뢰를 무너뜨리고 칩 생산 능력을 확장하는 것을 전략적으로 지연시킬 가능성이 높다고 평가합니다. 2022년 4월 CNBC는 반도체 공급 부족이 지속되면 "GDP 성장률을 떨어뜨리고 인플레이션을 부추길 수 있다"고 보도했습니다. 이러한 공급 부족은 인플레이션 세금으로 이어져 자동차, 텔레비전, 터치스크린 컴퓨터 등 영향을 받는 전자제품의 가격이 최대 3%까지 상승할 수 있으며, 이 중 일부는 6개월 이상 주문이 밀려 있는 제품도 있습니다.

2018년 대만 반도체 제조 회사(TSMC)는 북한과 연계된 것으로 알려진 워너크라이(WannaCry)의 대규모 랜섬웨어 공격을 받았으며, 이로 인해 TSMC는 칩 제조 공장 몇 곳을 폐쇄해야 했습니다. 이 공격은 TSMC의 일부 최첨단 시설에 있는 10,000대 이상의 기계에 영향을 미쳤으며, 애플의 향후 아이폰 라인에 사용될 제조 칩의 생산이 지연되어 약 2억 5,600만 달러의 매출에 영향을 미칠 수 있었습니다. TSMC는 또한 AMD(Advanced Micro Devices), NVIDIA, Qualcomm과 같은 글로벌 기술 대기업을 위한 프로세서 및 기타 실리콘 칩을 제조합니다.

2022년에는 캘리포니아 산타클라라에 본사를 둔 미국의 다국적 반도체 회사인 AMD와 NVIDIA가 각각 데이터 도난과 금품 갈취를 당한 것으로 나타났습니다. AMD는 2022년 1월에 랜섬하우스 조직에 의해 공격을 받았고 NVIDIA는 2022년 3월에 랩서스 그룹에 의해 공격과 금품 갈취를 당한 것으로 확인되었습니다. 또한 삼성, 이그니타륨, 다이오드, 이트론 테크놀로지, 실테라 말레이시아, 실테라 말레이시아 등 반도체 제조업체도 관찰했습니다. 와 세미크론은 2022년 현재까지 랜섬웨어 공격의 영향을 받았습니다.

미국과 중국에 대한 반도체의 전략적 중요성

미국은 중국의 핵심 칩 제조 기술에 대한 접근을 거부하는 광범위하고 오랜 전략을 채택해 왔으며, 미국 정부는 2020년 9월부터 중국 반도체 제조 국제 공사(SMIC)가 군사 응용 분야에서 이 칩 제조업체의 제품을 사용할 가능성과 중국 군과의 잠재적 관계를 이유로 미국으로부터 제재를 받아왔습니다.

SMIC는 2020년 4분기에 하이엔드 7nm 칩을 생산하여 TSMC, 인텔, 삼성과 같은 기존 반도체 회사와 경쟁할 계획이었습니다. SMIC의 계획은 미국의 제재로 인해 매우 필요한 장비와 설계 도구를 확보할 수 없게 되면서 부정적인 영향을 받았습니다. SMIC는 오랫동안 칩 생산 분야에서 중국의 국가 챔피언으로 여겨져 왔으며, 중국의 2021년 5개년 계획에서 반도체 생산이 최우선 과제인 만큼 중국의 반도체 자급자족을 선도할 것으로 기대되는 기업입니다.

2022년 7월 말, 톰스 하드웨어는 분석업체 테크인사이트(TechInsights)를 인용해 SMIC가 비트코인(BTC) 채굴기 SoC용 7nm 공정 노드를 기반으로 칩을 생산하고 있으며 2021년 7월부터 출하하고 있다고 보도했습니다. TechInsights가 이 칩을 리버스 엔지니어링한 결과 초기 이미지가 TSMC의 7nm 공정 기술을 거의 복사한 것으로 나타났으며, TSMC는 2002년과 2006년에 두 차례에 걸쳐 SMIC를 기술 도용 혐의로 고소했습니다. 아시아 타임즈는 미국의 제재가 중국 반도체 기술의 발전을 막지 못할 것이라는 우려가 나오고 있다고 보도했습니다. 대만은 또한 중국이 기술을 훔치고 엔지니어를 밀렵하는 등 대만의 기술 부문을 상대로 경제 전쟁을 벌이고 있다고 비난했으며, 중국이 산업 스파이 활동을 통해 반도체 산업에서 대만의 성공을 재현하려 한다고 우려하고 있습니다. 반도체 산업이 대만에서 중국으로 이전하면 세계 경제의 주요 기여국으로서 대만의 정체성이 약화되고 정부의 자율성에 대한 주장이 더욱 약화될 것입니다.

트렌드포스에 따르면 2021년 4분기 기준 상위 5개 파운드리가 전 세계 시장 점유율의 거의 90%를 차지하고 있으며, TSMC가 52.1%로 1위, SMIC가 5.2%로 5위를 차지하고 있습니다. TSMC는 SMIC의 약 10배에 달하는 시장 점유율로 확실한 선두를 달리고 있습니다.

반도체_기업_표적_랜섬웨어_피규어1.png 그림 1: 2021년 4분기 기준 매출 기준 상위 10개 글로벌 파운드리(출처: TrendForce)

반도체_기업_대상_랜섬웨어_피규어2.png 그림 2: TSMC의 반도체 칩 기술 성장 연도별 데이터, 2020년 가장 최신의 하이엔드 칩은 5nm입니다(출처: TSMC).

2022년 8월 9일, 조 바이든 미국 대통령은 국내 반도체 제조 및 과학 연구에 527억 달러를 투자하여 중국과의 경쟁력을 강화하는 것을 목표로 하는 초당파적 법안에 서명했습니다. 2022년 반도체 생산에 유용한 인센티브 창출 및 과학법( CHIPS )으로 불리는 이 법안에는 반도체 제조에 대한 투자를 장려하기 위한 투자 및 세금 공제가 모두 포함되어 있습니다. 이 법안에는 자동차 및 방위 시스템에 사용되는 레거시 칩에 20억 달러, R D 및 인력 개발에 132억 달러, 국제 정보 통신 기술 보안 및 반도체 공급망 활동에 5억 달러를 포함한 390억 달러의 제조 인센티브가 포함되어 있습니다(&). 또한 반도체 및 관련 장비 제조를 위한 자본 비용에 대해 25%의 투자 세액 공제를 제공합니다. 이러한 인센티브는 국내 공급을 확보하고 수만 개의 수익성 있는 조합 건설 일자리와 수천 개의 고숙련 제조 일자리를 창출하며 수천억 달러의 민간 투자를 촉진하는 데 목적이 있습니다. 유럽연합에서도 2022년 2월에 유사한 법안이 제안되었습니다.

이 기금을 활용하기 위해 "보조금 수혜자는 10년간 중국에서 '레거시 반도체'(28나노미터 공정 기술 이상으로 만들어진 칩으로 정의됨) 이상으로 생산을 확대할 수 없습니다." 이 법은 반도체 인재와 투자를 미국으로 유치하는 동시에 TSMC와 삼성전자 같은 글로벌 칩 대기업이 미국 자금을 이용해 중국에서 생산 능력을 확장하는 것을 막기 위해 고안된 법입니다. 중국 외교부는 이 법안에 중국 내 투자를 제한하는 조항이 포함되어 있다는 이유로 강력하게 반대했습니다.

중국은 반도체 칩 제조 능력 면에서 여전히 미국, 대만, 한국보다 뒤처져 있습니다. 미국은 반도체 가치 사슬에서 중국을 배제하려는 전략적 목표를 가지고 미국, 대만, 한국, 일본으로 구성된 칩 4 동맹을 출범시켰고, 이 계획은 중국의 비난과 반발을 샀습니다. 중국 정부는 미국이 칩 공급 문제를 '무기화'하려 하고 있다고 주장하며 한국에 칩 동맹에 가입하지 말 것을 촉구했습니다.

중국은 미국과 경쟁하기 위해 새로운 제조 기술을 확보하는 데 전념하고 있으며, 지적 재산을 훔치는 방식으로 칩 산업을 공략하고 있습니다. 국가적 위협 행위자 그룹 외에도 금전적 동기를 가진 랜섬웨어 그룹이 데이터를 공격, 탈취 및 암호화하려는 동기가 더 강하다고 평가합니다. 랜섬웨어 공격은 중국 반도체 산업의 성장과 발전에 잠재적으로 유리할 수 있는 정보를 훔칠 수 있을 뿐만 아니라 미국 반도체 산업과 그 동맹국, 특히 대만, 한국, 일본의 생산 공정과 발전을 지연시키려는 전략적 목표를 달성할 수도 있습니다.

주목할 만한 지적 재산 도난 및 고위험 사고
사례 연구 1: TSMC에서 많은 엔지니어를 채용한 SMIC

사우스 차이나 모닝 포스트 는 주요 고위 관리자를 포함한 SMIC의 많은 엔지니어가 대만, 특히 TSMC에서 채용되었으며, SMIC가 전직 TSMC 직원을 고용하는 과정에서 지적 재산권을 도용했다는 혐의로 TSMC로부터 소송을 당했다고 보도했습니다. 로이터 통신도 2022년 5월 대만이 반도체 칩 산업의 기밀을 보호하고 중국이 중요한 칩 제조 기술을 확보하는 것을 막기 위해 칩 엔지니어와 기술 인력을 불법적으로 밀렵한 혐의를 받고 있는 중국 기업 10곳을 급습했다고 보도했습니다.

사례 연구 3: 일본 경찰, 러시아 인물의 잠재적 스파이 시도에 대해 높은 경계 태세 발령

2022년 7월 28일, 일본 경찰 당국은 러시아 무역대표부 직원이 일본 반도체 회사 소속 직원과 접촉했다는 사실을 여러 일본 반도체 회사에 알렸습니다. 일본 경찰은 해당 직원이 스파이 활동에 가담해 회사의 기술 정보를 훔치려 한 것으로 보고 있습니다. 반도체 기업에 대한 경고는 다른 국가로의 기술 이전을 막기 위한 일본 정부의 경제 안보 조치의 일환입니다.

미중 긴장 고조와 펠로시 하원의장의 TSMC 방문

2022년 8월 2일, 낸시 펠로시 미국 하원의장은 중국의 보복 위협이 있는 가운데 대만을 방문하여 대만에 대한 지지의사를 표명했습니다. 중국 외교부는 "하나의 중국 정책과 중미 3개 공동성명 조항에 대한 심각한 위반"이라며 이번 방문을 강력히 규탄했습니다. 중국 정부는 니콜라스 번스 주중 미국 대사를 소환해 항의했습니다. 중국은 또한 대만과 미국 모두에 심각한 결과를 초래할 수 있다고 경고했습니다. 2022년 8월 3일, 중국군은 대만 주변에서 대규모 공중 및 해상 훈련을 시작했습니다. 또한 중국은 대만과의 무역을 제한하고 반도체 생산용 모래 수출을 중단했으며 대만산 감귤류와 특정 종류의 생선 수입을 제한했습니다.

펠로시 하원의장은 대만 방문의 일환으로 2022년 8월 3일 TSMC의 마크 리우 회장을 만나 글로벌 반도체 공급망에서 미국의 역할을 강화하기 위한 미국의 계획으로 인식되는 앞서 언급한 칩스 앤 사이언스 법에 대해 논의했습니다. 동시에 이번 회의는 미국과 중국의 기술 발전에 필수적인 하이엔드 반도체를 공급하는 대만과 TSMC의 전략적 중요성도 보여주었습니다. 펠로시 의장의 방문에 앞서 TSMC의 류 회장은 중국이 대만을 침공할 경우 세계에서 가장 앞선 칩 공장을 "가동할 수 없게 될 것"이라고 언급하며 대만과 중국의 군사 충돌은 중국, 대만, 미국, 서방 국가 전반에 심각한 경제적 결과를 초래할 것이라고 경고한 바 있습니다.

중국의 가까운 동맹국인 러시아는 펠로시 의장의 대만 방문을 비난했습니다. 러시아 외무부 대변인 마리아 자카로바는 이번 방문이 최근 몇 년 동안 러시아와 강력한 파트너십을 구축한 중국에 압력을 가하려는 미국의 도발적인 시도라고 말했습니다. "미국은 국가를 도발하는 국가"라고 그녀는 말했습니다. "러시아는 '하나의 중국' 원칙을 확인하며 어떤 형태로든 [대만] 섬의 독립을 반대한다".

위협 분석

다크웹 랜섬웨어 갈취 블로그와 랜섬웨어 및 갈취 위협 행위자들의 텔레그램 채널에 대한 연구를 통해 다음과 같은 반도체 회사가 공격을 받은 것을 확인했으며, 이러한 랜섬웨어 및 갈취 그룹의 TTP도 분석했습니다.

반도체_기업_표적_랜섬웨어_피규어3.png 그림 3: 2022년 상반기 반도체 기업을 대상으로 한 주요 랜섬웨어 공격(출처: Recorded Future)

Lapsus$ 그룹 - NVIDIA(미국) 및 삼성(한국)
NVIDIA

저희는 랩서스 그룹을 랜섬웨어 조직이 아니라 금전적 동기가 있고 데이터 탈취를 전문으로 하는 낮은 수준의 위협 그룹으로 간주합니다. 이 랜섬웨어 그룹이 나타내는 TTP는 다른 랜섬웨어 그룹과 비교할 때 다릅니다. Lapsus$ 그룹은 랜섬웨어를 배포하지 않고 다음과 같은 공격 경로를 통해 데이터를 유출합니다:

  • 피싱 및 웹사이트 훼손
  • 다음을 사용하여 여러 조직을 대상으로 한 대규모 사회 공학 및 갈취 캠페인:
    • RedLine 인포스틸러를 배포하여 비밀번호 및 세션 토큰 획득하기
    • 범죄 지하 포럼 및 상점에서 자격 증명 및 세션 토큰 구매
    • SIM 교환
    • 내부적으로 액세스할 수 있는 서버에서 패치되지 않은 취약점 익스플로잇(예: JIRA, GitLab, Confluence)
    • 코드 리포지토리 및 협업 플랫폼에서 노출된 자격 증명 및 독점 정보를 검색합니다.

2022년 2월 25일, 'DEV-0537'로도 알려진 랩서스 그룹은 미국 칩 제조업체인 엔비디아에서 1TB 상당의 데이터를 유출했다고 발표했습니다. 지난 몇 년간 랜섬웨어 그룹의 전형적인 이중 갈취 캠페인과 마찬가지로, Lapsus$ 그룹은 NVIDIA가 몸값을 지불하지 않을 경우 데이터를 공개하겠다고 협박했습니다. Lapsus$ Group의 보다 구체적인 갈취 방법 중 하나는 특정 NVIDIA 칩셋(GA102 및 GA104)에서 라이트 해시 비율(LHR) 제한을 우회하는 방법에 대한 정보를 공개하겠다고 협박하는 것이었습니다. LHR은 칩이 이더리움(ETH) 채굴에 사용되고 있음을 감지하면 해싱 속도를 제한하는 NVIDIA 기술을 말합니다. 또한 이 공격으로 인해 이틀 동안 이메일 등 엔비디아의 내부 시스템이 오프라인 상태가 된 것으로 알려졌으며, 랩서스 그룹은 초기 게시물에서 모든 엔비디아 직원들의 해시된 비밀번호가 포함된 텍스트 파일을 노출했다고 주장했습니다. 위협 그룹이 보낸 여러 메시지에 따르면 이들은 약 1주일 동안 NVIDIA 네트워크에 액세스하여 NVIDIA의 모든 그래픽 처리 장치(GPU)에 내장된 특수 등급의 마이크로 컨트롤러인 Falcon을 포함한 회로도, 드라이버 및 펌웨어와 관련된 데이터를 훔쳤습니다.

랩서스 그룹이 LHR 제한에 대한 정보를 공개하겠다고 위협한 것은 지난 몇 년 동안 암호화폐 채굴자들이 채굴과 게임 구매를 위해 전 세계 게이머들과 경쟁하며 사용 가능한 모든 GPU를 구매함에 따라 공급 부족과 높은 가격을 겪었던 GPU 시장에 대한 이해를 바탕으로 한 것일 가능성이 높습니다. GPU는 게이머에게 부드러운 시각적 경험을 보장하기 때문에 PC 게이머가 최신 비디오 게임을 더 높은 해상도와 응답 속도로 플레이하려면 GPU가 필수적입니다. 지난 몇 달 동안 암호화폐 가격(특히 비트코인과 이더리움)이 더 큰 폭으로 하락하면서 GPU 가격은 이제야 하락하기 시작했습니다. LHR 제한은 지난 몇 주 동안 이 기술을 우회할 수 있다고 광고한 도구가 트로이 목마를 배포하는 것으로 밝혀져 보안에 대한 우려가 제기된 바 있습니다. 이 에피소드들은 사이버 범죄자들의 암호화폐 생태계에 대한 지속적인 관심을 강조합니다.

반도체_기업_표적_랜섬웨어_피규어4.png 그림 4: 2020년 출시 당시보다 2021년 11월에 훨씬 더 높은 가격으로 책정된 Nvidia의 RTX 3070 GPU 가격(출처: PCMag)

테크 레이더가 지적한 바와 같이, LHR 제한 사양을 공개하겠다는 랩서스 그룹의 위협은 데이터 유출을 막는 대가로 엔비디아가 자체적으로 이 제한을 해제하라는 요구와 모순됩니다. 이러한 모순은 랩서스 그룹이 우회 방법이 어떻게 작동하는지 이해하지 못하거나, 자신 또는 타인의 암호화폐 채굴을 돕기 위해 이 데이터를 가지고 있지 않으면서도 가지고 있다고 허세를 부리고 있을 가능성이 높다는 것을 의미합니다.

보안 연구원들은 2022년 2월 Lapsus$ 그룹이 NVIDIA의 코드 서명 인증서를 유출한 후 유출된 인증서가 악성 프로그램에 서명하는 데 사용되어 악성 프로그램이 합법적인 것처럼 위장하고 Windows 컴퓨터의 보안 보호 장치를 통과할 수 있다는 사실을 발견했습니다.

2022년 2월에 발생한 이 공격으로 인해 GPU 제조업체에서 20GB의 데이터가 수집되었으며, 여기에는 하드웨어 회로도, 펌웨어, 드라이버, 이메일 계정, 71,000명 이상의 직원에 대한 비밀번호 해시 데이터가 포함되어 있었습니다. 이 그룹은 NVIDIA가 협상을 거부하자 이 데이터를 온라인에 유출하기 시작했습니다. 유출된 정보에는 NVIDIA 개발자가 드라이버와 실행 파일에 서명하는 데 사용하는 2개의 도난 코드 서명 인증서가 포함되어 있었습니다. 도난당한 두 NVIDIA 인증서는 모두 만료되었지만 Windows에서는 인증서로 서명된 드라이버를 운영 체제에서 로드할 수 있습니다. 보안 연구원들에 따르면, 도난당한 인증서로 서명된 악성 바이너리가 합법적인 NVIDIA 프로그램을 스푸핑하여 악성코드 샘플 데이터베이스 VirusTotal에 나타났습니다.

보고서에 따르면, 서명된 바이너리는 공격자가 시스템에 저장된 자격 증명을 열거하고 볼 수 있는 측면 이동 도구인 Mimikatz로 탐지되었으며, 코발트 스트라이크 비콘과 백도어, QuasarRAT를 포함한 원격 액세스 트로이목마(RAT) 등의 멀웨어 및 해킹 도구도 탐지되었습니다.

반도체_기업_표적_랜섬웨어_피규어5.png 그림 5: 2022년 2월, 랩서스 그룹은 1TB의 데이터를 NVIDIA로부터 유출했다고 주장했습니다(출처: 텔레그램).

반도체_기업_표적_랜섬웨어_피규어6.png 그림 6: 71,335개의 직원 이메일 주소와 NTLM 암호 해시가 포함된 NVIDIA의 데이터 유출 관련 세부 정보(출처: haveibeenpwned)

삼성

랩서스 그룹이 삼성전자에서 도난당한 데이터 유출에 대한 책임을 주장했습니다. 도난당한 데이터에는 다음과 같은 내용이 포함된 것으로 추정됩니다:

  • 민감한 작업에 사용되는 삼성의 TrustZone 환경에 설치된 모든 TA(신뢰할 수 있는 애플릿)에 대한 소스 코드
  • 센서와 직접 통신하는 소스 코드를 포함한 모든 생체 인식 잠금 해제 작업에 대한 알고리즘
  • Knox 데이터 및 인증용 코드를 포함한 모든 최신 삼성 디바이스의 부트로더 소스 코드
  • 퀄컴의 기밀 데이터를 포함한 다양한 기타 데이터
  • API 및 서비스를 포함하여 삼성 계정을 승인하고 인증하는 데 사용되는 기술에 대한 전체 소스 코드

Lapsus$ 그룹은 유출된 데이터를 3개의 압축 파일로 분할했습니다. 샘플 데이터의 이용 가능 여부는 텔레그램 채널에 공지되었으며 토렌트 파일로 공유되어 다운로드할 수 있습니다. 토렌트 파일은 3개의 압축 파일로 제공되는 콘텐츠에 대한 요약 정보도 제공합니다:

  • 1부에는 보안/방어/Knox/부트로더/트러스티드앱 및 기타 다양한 항목에 대한 소스 코드 및 관련 데이터 덤프가 포함되어 있습니다.
  • 2부에는 디바이스 보안 및 암호화에 대한 소스 코드 및 관련 데이터 덤프가 포함되어 있습니다.
  • 파트 3에는 모바일 방어 엔지니어링, 삼성 계정 백엔드, 삼성 패스 백엔드/프론트엔드, SES(빅스비, 스마트싱스, 스토어) 등 삼성 GitHub의 다양한 리포지토리가 포함되어 있습니다.

2022년 3월 7일, 삼성은 블룸버그에 보안 침해로 인해 회사 내부의 특정 데이터가 승인되지 않은 당사자에게 노출되었음을 확인했습니다. 삼성의 초기 조사에 따르면 이번 유출은 갤럭시 디바이스 작동과 관련된 소스 코드에 국한되어 있으며 고객과 직원의 개인 식별 정보(PII)는 포함되지 않았습니다.

반도체_기업_표적_랜섬웨어_피규어7.png 그림 7: 2022년 3월, 랩서스 그룹은 텔레그램 채널에서 삼성의 소스 코드를 유출하겠다고 협박했습니다(출처: 텔레그램).

체포

2022년 4월 1일, 런던시 경찰은 랩서스 그룹과 연관된 것으로 알려진 익명의 10대 청소년 2명(16세와 17세)이 악의적인 활동에 가담한 혐의로 기소되었다고 공개했습니다.

런던시 경찰의 마이클 오설리반 형사 조사관에 따르면, 수사 과정에서 데이터의 신뢰성을 훼손할 의도로 컴퓨터에 무단으로 액세스한 혐의가 3건, 허위 진술을 통한 사기 및 피해자의 데이터에 대한 접근을 무력화하기 위한 컴퓨터 무단 액세스 혐의가 각각 1건으로 확인되었다고 합니다. 또한, 익명의 16세 소년은 컴퓨터가 프로그램 기능에 대한 보안 무단 액세스를 수행할 수 있도록 한 혐의로 기소되었습니다.

이번 수사에서 기소된 두 사람은 모두 청소년으로 간주되어 신원 공개가 제한됩니다. 익명의 10대 청소년 2명은 2022년 3월 30일 소프트웨어 서비스 업체인 Globant의 70GB 데이터를 유출한 사건의 용의자 7명 중 한 명으로, 아직 조사 중인 사건에 포함되어 있습니다.

LockBit 2.0 - 이그니타륨(인도) 및 LockBit 3.0 - 다이오드(미국)

레코디드 퓨처가 집계한 랜섬웨어 피해자 분석에 따르면, 2019년에 활동하기 시작한 락빗 랜섬웨어가 콘티를 제치고 공개적으로 피해자가 가장 많이 발생한 랜섬웨어로 등극했습니다. 맨디언트의 조사에 따르면, 다수의 LockBit 랜섬웨어 침입은 재정적 동기를 가진 위협 행위자 그룹인 UNC2165의 소행이며, 이 그룹은 공개적으로 Evil Corp로 보고된 그룹과 많은 부분이 겹치는 것으로 나타났습니다.

락빗 랜섬웨어의 운영자인 락빗 갱은 지난 5개월 동안 반도체 회사 2곳을 피해자로 주장했습니다. 첫 번째는 이그니타륨(ignitarium[.]com)이었습니다, 인도의 부티크 실리콘 및 임베디드 시스템 디자인 회사로, 2022년 3월 23일에 LockBit 2.0 유출 데이터(LockBit 2.0의 강탈 블로그)에 처음 등장했습니다. 두 번째는 Diodes, Inc(diodes[.]com)였습니다, 미국 텍사스주 플레노에 본사를 둔 글로벌 반도체 제조업체로, 유출된 데이터는 2022년 6월 29일 'LockBit 3.0 유출 데이터'라는 이름으로 개편된 LockBit 3.0 블로그에 처음 업로드되었습니다. 이그니타륨 사건에서는 회사의 소스 코드가 포함된 탈취된 데이터를 무료로 다운로드할 수 있었습니다. 다이오드 사건에서 위협 행위자는 "데이터시트, 엑스레이 사진, 지침, 테스트, 엔지니어 의견, 생산 비용 및 웨이퍼 제조 계획"과 같은 기술 문서를 포함하여 2TB의 회사 데이터를 보유하고 있다고 주장했습니다. 또한 데이터 패키지에는 "은행 문서, 컴퓨터 장비 제조업체와의 계약서, 주문 및 배송 서류, [그리고] 은행 서신 및 고객사와의 서신을 포함한 회사 내부 서신"과 같은 회사의 "기밀 정보"가 포함되어 있었다고 합니다. 몸값 메모에는 다음과 같은 구체적인 지침도 포함되어 있었습니다:

  • 데이터 공개 기한을 24시간 연장하려면 $10,000를 지불해야 합니다.
  • 모든 정보를 파기하는 데 14,453,391달러를 지불했습니다.
  • 또한 $14,453,391를 지불하면 언제든지 데이터를 다운로드할 수 있습니다.

또한 위협 행위자는 결제를 위해 다음과 같은 지갑을 설정했습니다:

  • BTC 지갑: bc1q9elveqafa7m2e0vdeenjp46qukvjjgpffh2rys
  • 모네로(XMR) 지갑: 48XyFEbDz4117SopGgaSjAaMK2uXqvnmq7W2wFXKUFPJNdTLFUvgKyx82jcRiWXBDv9ojbijGYyqz9edtrsgZG9NMHG7Xff

이 보고 시점에 해당 지갑에는 결제/거래가 나타나지 않았습니다.

반도체_기업_표적_랜섬웨어_피규어8.png 그림 8: LockBit 3.0의 탈취 웹사이트에 데이터 공개 카운트다운 타이머가 있는 Diodes Inc. 해킹 발표(출처: LockBit 3.0 유출 데이터)

LockBit 2.0

2021년 6월, 호주 사이버 보안 센터(ACSC)에 따르면 "불법적으로 얻은 수익의 일정 부분을 락빗 운영자와 수수료로 공유하는 조건으로 제휴사가 원하는 대로 활용할 수 있는" RaaS 모델을 따르는 락빗 랜섬웨어의 업데이트 버전인 락빗 2.0 랜섬웨어가 등장했습니다. LockBit 2.0은 전 세계적인 규모의 공격을 담당했습니다. 또한, 2021년 7월 13일에 LockBit 2.0이 그들의 탈취 웹사이트인 LockBit 2.0 Leaked Data에 처음 게시하기 시작한 이후 소프트웨어, 자동차, 은행, 호텔, 정보 기술, 소매, 서비스, 통신 등의 분야의 조직에 대한 언급을 확인했습니다. 락빗 2.0은 특정 피해자 네트워크에 대한 초기 액세스 권한을 얻기 위해 포티넷 포티OS 및 포티프록시 제품의 기존 취약점(CVE-2018-13379로 추적됨)을 악용하는 것이 관찰되었습니다.

LockBit 3.0

2022년 6월 27일, 락빗 팀은 최신 RaaS 서비스인 락빗 3.0을 출시했습니다. 또한, 락빗 갱은 다크웹에서 최초로 버그 바운티 프로그램을 시작했는데, RaaS 그룹은 보안 연구원들에게 1,000달러에서 100만 달러의 보상금을 지급하는 대신 버그 보고서를 제출하도록 요청하고 있습니다.

현재로서는 LockBit Gang이 암호화기에 어떤 기술적 변경을 가했는지는 확실하지 않지만, 랜섬노트에 더 이상 "Restore-My-Files.txt"라는 이름이 붙지 않습니다, 대신 [ID] 형식으로 변경되었습니다. README.txt. 블리핑컴퓨터에 따르면, 이 위협 그룹은 락빗 3.0을 출시하면서 락빗 3.0 공격이 진행되는 동안 관심 있는 구매자에게 탈취한 데이터를 구매할 수 있는 기회를 제공하는 새로운 강탈 모델도 채택했습니다. 도난당한 데이터의 양에 따라 구매자는 직접 다운로드하거나 대용량 패키지의 경우 토렌트를 통해 다운로드할 수 있습니다. 또한, 트렌드 마이크로의 연구원들은 LockBit 3.0의 코드 일부가 BlackMatter 랜섬웨어에서 차용된 것으로 보이며, 따라서 LockBit Black이라는 별명을 붙였다고 지적했습니다.

바운티 프로그램은 웹 보안 익스플로잇뿐만 아니라 고가치 표적에 대한 PII에 대해서도 보상을 제공하는 개편된 RaaS 프로그램입니다. 락빗 갱은 웹사이트 버그, 암호화 버그, 독싱, TOX 메신저, TOR 네트워크 등 다른 카테고리에 대해서도 현상금을 제공하고 있습니다. 또한, 락빗 갱은 버그 바운티 페이지의 같은 게시물에서 랜섬웨어 운영을 개선할 수 있는 혁신적인 방법과 아이디어를 모집했습니다. 락빗 갱은 몸값을 갈취하는 웹사이트에 따르면, 기존 암호화폐인 비트코인(BTC)과 모네로(XMR)로 몸값을 받고 있지만, 이제 지캐시(ZEC)도 받을 것이라고 발표했습니다.

RansomHouse - AMD(미국)

2022년 5월 1일, AMD가 랜섬하우스 웹사이트에 등재된 것을 확인했습니다. 위협 행위자들은 연구 및 재무 정보를 포함하여 450GB 상당의 데이터를 AMD에서 유출했다고 주장했습니다. 위협 행위자는 AMD에 속한 것으로 추정되는 77,000개 이상의 손상된 장치가 포함된 데이터 샘플을 무료로 다운로드할 수 있도록 제공했으며, 추측하기 쉬운 암호를 사용하여 피해자의 보안이 취약하다고 조롱했습니다.

반도체_기업_표적이_된_랜섬웨어_그림9.png 그림 9: 랜섬하우스는 AMD의 데이터를 탈취 웹사이트에 게시하고 허술한 보안을 조롱했습니다(출처: 랜섬하우스).

랜섬하우스는 랜섬웨어를 사용하지 않는다고 주장하며, 대신 패치되지 않은 취약점을 통해 네트워크를 침입하여 피해자의 데이터를 탈취하는 데 집중합니다. 2021년 12월 첫 번째 피해자인 서스캐처원주 주류 및 게임 당국(SLGA)을 공격한 후 등장했습니다. 또한 랩서스 그룹에 의해 피해를 입은 NVIDIA와 삼성도 피해자로 명시되어 있습니다.

Emisoft의 위협 분석가인 브렛 캘로우에 따르면, 화이트 래빗 랜섬웨어를 비롯한 자체 도구를 사용하여 공격을 수행하는 '클럽 멤버'들이 랜섬하우스 플랫폼을 사용하는 것으로 추정된다고 합니다. 그러나 이는 랜섬하우스가 랜섬웨어 변종을 사용하여 피해자 데이터를 암호화하지 않으며, 랜섬하우스가 탈취한 파일을 노출시키겠다는 위협에만 기반하여 갈취한다는 다른 주장과는 다릅니다. 사이버인트의 2022년 5월 23일자 보고서에 따르면 데이터 도용 및 갈취 그룹으로 널리 알려진 랩서스 그룹이 텔레그램 채널에서 랜섬하우스를 홍보했다고 합니다. 랜섬하우스의 정확한 기원은 아직 명확하지 않지만, 사이버인트 연구진은 사이버인트가 모니터링한 텔레그램 대화 내용을 바탕으로 이 위협 그룹이 숙련된 레드팀 펜테스터들로 구성된 것으로 추정하고 있습니다.

LV 랜섬웨어 - SilTerra Malaysia Sdn. 및 세미크론

2022년 6월 4일, 실테라 말레이시아 Sdn. 는 LV 랜섬웨어가 운영하는 LV 블로그 랜섬웨어 탈취 웹사이트에 말레이시아의 반도체 제조업체로 등록되었습니다. 이전에 웨이퍼 테크놀로지로 알려졌던 이 회사는 1995년에 설립되었습니다. 위협 행위자에 따르면 유출된 1TB 상당의 데이터에는 사업 계획 문서, 보험 정보, 재무 데이터, 직원 데이터, 고객 데이터 등이 포함되어 있으며, 모두 다운로드할 수 있었습니다.

2022년 8월 4일, 독일에 본사를 둔 전력 반도체 부품 독립 제조업체인 Semikron도 LV 블로그 갈취 웹사이트에 피해자로 등록되어 있는 것을 확인했습니다. 위협 행위자들은 세미크론에서 NDA, 도면, 직원 데이터, 계약서, 재무 데이터, 투자 데이터, 고객 데이터 등 2TB에 달하는 데이터를 훔쳤다고 주장했습니다. 또한, 위협 행위자들은 세미크론 네트워크에 백도어와 취약점이 많다고 주장하며 탈취 블로그 방문자를 다른 TOR 기반 웹사이트로 유도하여 사용 가능한 데이터의 10%에 액세스할 수 있도록 했습니다. 데이터 수집을 위한 협상을 위한 qTox 핸들도 포함되었습니다.

실테라 말레이시아와 세미크론에 대한 랜섬웨어 공격을 일으킨 공격 벡터는 확인하지 못했지만, 2020년 6월 초에 야생에서 발견되어 '.0nzo8yk 바이러스'라고도 알려진 LV 랜섬웨어는 LV 랜섬웨어 갱의 운영자가 채택한 랜섬웨어 변종 REvil/Sodinokibi v2.03의 수정 버전으로 추정합니다. LV 랜섬웨어 갱이 구현한 멀웨어의 주요 기술 업데이트 중에는 REvil 운영자가 감염을 추적하는 데 사용하던 명령 및 제어(C2) 서버를 제거하고 자체 서버로 교체한 것이 있습니다. 다크웹 포럼이나 기타 출처에서 LV 랜섬웨어의 제휴 파트너에 대한 광고, 판매 또는 채용은 확인되지 않았습니다.

반도체_기업_표적_랜섬웨어_피규어10.png 그림 10: LV 랜섬웨어 갈취 블로그에서는 이 그룹이 SilTerra Malaysia Sdn에서 1TB 상당의 데이터를 훔쳤다고 주장합니다. Bhd. (출처: LV 블로그)

반도체_기업_표적_랜섬웨어_피규어11.png 그림 11: LV 랜섬웨어 익스플로잇 그룹이 세미크론에서 2TB 상당의 데이터를 훔쳤다고 주장하는 블로그(출처: LV 블로그)

쿠바 랜섬웨어 - Etron Technology(대만)

2022년 6월 13일, 쿠바 랜섬웨어의 갈취 웹사이트인 쿠바 리크스(Cuba Leaks)의 게시물에 따르면 이들은 2022년 6월 1일에 팹리스 IC 설계 및 생산 회사인 이트론 테크놀로지(etron[.]com)로부터 파일을 처음 받았다고 주장했습니다. 재무 문서, 은행 직원과의 서신, 계좌 이동, 대차 대조표, 세금 문서, 보상 및 소스 코드를 모두 다운로드할 수 있습니다. 는 2022년 6월 8일, 2022년 4월 말 아시아 기반 조직을 대상으로 한 두 건의 공격에서 쿠바 랜섬웨어 갱의 새로운 변종 랜섬웨어가 사용되었다고 보고했습니다.

1991년 2월에 설립된 Etron Technology는 버퍼 메모리 및 시스템 온 칩을 전문으로 하는 회사입니다. Etron Technology는 대만의 "국가 서브마이크론 프로젝트(" )를 개척하고 대만 최초의 8인치 웨이퍼 서브마이크론 기술 개발을 지원하여 대만의 DRAM 및 SRAM 산업을 위한 견고한 기반을 구축했습니다. 대만에 본사를 둔 상장 기업인 Etron Technology는 아시아 태평양 지역과 국제 시장 간의 경계를 허물기 위해 노력하고 있습니다. 미국, 유럽, 일본은 물론 다른 아시아 국가의 기업들과도 활발한 비즈니스를 진행하고 있습니다.

2020년 2월 쿠바 랜섬웨어 갱이 처음 등장한 이후, 이 멀웨어는 새로운 변종으로 여러 차례 재등장했습니다. 2022년 4월 말에 발견된 최신 변종은 최적화된 실행 및 감염 기술을 보여주었습니다. 이 업데이트를 통해 쿠바 랜섬웨어는 Microsoft Outlook, Microsoft Exchange 및 MySQL을 포함한 프로세스 및 서비스를 더 잘 종료할 수 있게 되었습니다. 이러한 서비스 및 프로세스가 종료되어 감염된 시스템의 더 많은 파일과 애플리케이션이 암호화될 수 있습니다. 랜섬웨어의 영향을 받은 프로세스 및 서비스의 전체 목록은 트렌드마이크로의 보고서에서 확인할 수 있습니다.

2022년 4월 버전에서 주목할 만한 또 다른 차이점은 허용 목록에 포함된 디렉토리와 파일 형식이 확장되었다는 점입니다. 따라서 이 최신 쿠바 랜섬웨어 변종은 암호화하는 동안 더 많은 디렉토리와 파일 유형을 피합니다. 이는 탐지를 피하기 위한 것일 수 있습니다. 또한 쿠바 랜섬웨어 갱은 새로운 변종에서 디렉터리 또는 위치 관련 문구인 명령어 2개만 유지했습니다. 2022년 3월에 표시된 1과 같은 이전 버전에는 더 많은 명령과 기능이 포함되어 있었습니다. 공격자들은 또한 피해자들이 할당된 시간 내에 공격자들과의 협상을 거부할 경우, 유출된 데이터가 그들의 갈취 웹사이트에 공개될 것이라고 랜섬노트에 명시하도록 업데이트했습니다. 이는 피해자를 대상으로 DDoS 공격을 개시하는 이중 갈취 방법을 사용하려는 새로운 의도를 나타냅니다. 또한, 랜섬노트에는 피해자의 몸값 협상을 위한 실시간 기술 지원을 지원하는 'qTox'가 포함되어 있습니다.

공격이 발생한 시기와 Etron Technology가 피해자로 발표되었다는 점을 고려할 때 새로운 변종이 Etron Technology의 공격에 사용되었을 가능성이 높습니다. 또한 이트론 테크놀로지가 협상 기간 동안 몸값을 지불하지 않았을 가능성이 높으며, 그 결과 쿠바 리크스에 데이터가 공개되었다는 점도 시사합니다.

반도체_기업_표적_랜섬웨어_피규어12.png 그림 12: 쿠바 랜섬웨어가 랜섬웨어의 탈취 웹사이트에 Etron Technology 소유의 데이터를 게시했습니다(출처: Cuba Leaks).

중요 인프라에 속한 데이터를 암호화하지 않는 랜섬웨어 제휴사 규정

랜섬웨어 계열사는 랜섬웨어 운영자에게만 알려져 있으며 랜섬웨어 운영자가 설정한 특정 규칙을 따라야 합니다. 예를 들어, LockBit 3.0 운영자는 제휴사가 다른 랜섬웨어 운영자와 협력하는 것을 허용하지만, 제휴사가 그러한 활동을 보고하고 왜 그런 활동을 했는지, 경쟁사의 어떤 점을 좋아하는지 설명하기를 원합니다. 또한 LockBit 3.0은 원자력 및 화력발전소와 같은 중요 인프라의 파일을 암호화하는 것을 명시적으로 금지하고 있는데, 이는 미국 국무부가 랜섬웨어 운영자를 단속하기 위해 자원을 전용하는 것을 막기 위한 조치라고 생각합니다. 그러나 반도체 회사는 제휴사 규정 페이지에서 중요 인프라를 명확하게 정의하지 않아 기술적으로 제휴사가 데이터를 훔치는 것뿐만 아니라 반도체 회사의 파일을 암호화하는 것도 허용할 수 있습니다. 이러한 제휴 프로그램은 위협 그룹과 랜섬웨어 운영자 모두에게 윈윈 시나리오로 볼 수 있는데, 위협 그룹은 기존 랜섬웨어 제품군을 사용하여 반도체 회사의 정보를 암호화하고 탈취할 수 있으며, 주로 금전적 동기가 있는 랜섬웨어 운영자는 위협 그룹이 요구하는 몸값 중 일부를 받을 수 있기 때문입니다.

반도체_기업_표적_랜섬웨어_피규어13.png 그림 13: 계열사가 다른 랜섬웨어 운영자와 협력하는 것을 허용하고, 계열사가 중요 인프라에 있는 기업의 파일을 암호화하는 것을 명시적으로 금지하는 LockBit 3.0의 규칙. 그러나 계열사는 중요 인프라에 속한 데이터를 암호화하지 않고 훔칠 수 있습니다. (출처: LockBit 3.0 유출 데이터)

선을 넘어 미국에 기반을 둔 중요 인프라를 표적으로 삼는 사이버 위협 그룹은 미국 정부의 기소 대상이 될 가능성이 높습니다. 2022년 8월 11일, 미국 국무부는 미국의 국가 안보에 영향을 미치는 위협 행위자와 관련된 정보를 제공하는 사람에게 최대 1, 000만 달러의 포상금을 지급하는 ' 정의의 보상 프로그램 '을 통해 5명의 고위급 콘티 랜섬웨어 조직원에 대한 정보를 제공할 수 있는 사람에게 포상금을 지급한다고 발표했습니다. 블리핑컴퓨터는 콘티 랜섬웨어 브랜드는 폐쇄되었지만, 조직원들은 여전히 다른 랜섬웨어 운영 및 갈취 그룹에서 활발히 활동하고 있다고 보고했습니다. 정의의 보상 프로그램은 또한 개인이 미국의 중요 인프라를 대상으로 하는 외국 연계 악성 사이버 활동에 대한 정보를 제공하도록 장려하기 때문에, 외국 위협 그룹이 신원이 노출되고 현상금이 걸리는 위험을 감수하고 싶어할 것 같지는 않습니다. 이러한 위협 그룹은 기존 랜섬웨어 제품군을 사용하여 사이버 공격을 수행하는 것이 이러한 그룹에 대한 직접적인 귀속을 방지하는 데 더 쉽다고 생각합니다.

반도체_기업_표적_랜섬웨어_피규어14.png 그림 14: 미국 국무부, 외국 정부의 지시 또는 통제 하에 활동하는 자를 포함하여 미국의 중요 인프라를 표적으로 삼는 악의적인 사이버 활동에 가담한 개인에 대한 정보에 대해 최대 1,000만 달러의 포상금 제공(출처: 미국 국무부)

미국 사이버보안 및 인프라 보안국(CISA)은 물리적 또는 가상 자산, 시스템, 네트워크가 미국에 매우 중요하여 무력화되거나 파괴될 경우 국가 안보, 국가 경제 안보, 국가 공중 보건 또는 안전 또는 이들의 조합에 치명적인 영향을 미칠 수 있는 16개 중요 인프라 부문을 나열하고 있습니다. 반도체 산업은 현재 미국 정부에서 중요 인프라 부문으로 정의하고 있지 않으며, 중요 제조업 부문에도 명시적으로 포함되지 않습니다. 그러나 이 글을 쓰는 시점에서 반도체 산업이 중요 인프라 부문으로 분류되지는 않았지만, 전략적 중요성에 대한 인식이 높아지고 미국 정부의 국내 칩 생산 지원 계획에 따라 향후 미국 정부가 반도체 기업을 중요 인프라 부문으로 분류할 가능성이 높으며 이는 랜섬웨어 계열사가 이 산업을 공격하는 것을 막는 새로운 억지력으로 작용할 것으로 예상하고 있습니다.

또한 국가적 위협 행위자가 이미 RaaS 운영자와 제휴를 맺고 반도체 회사의 IP를 탈취하는 것을 주요 목적으로 다양한 랜섬웨어 제품군을 사용하여 사이버 공격을 수행하고 있을 수 있다고 생각합니다. 이렇게 함으로써 이러한 국가적 위협 행위자들은 쉽게 구할 수 있는 랜섬웨어를 사용하여 정보를 암호화하고 탈취하며 사이버 공격을 랜섬웨어 그룹의 공격처럼 보이게 만들 수 있습니다. 중요 인프라 및 반도체 기업과 같은 유명 표적에 대한 공격이 전 세계의 관심을 끌면서 위협 그룹은 종종 익명성을 가장하여 랜섬웨어 그룹으로 공격의 귀속을 돌리는 방식으로 활동합니다.

랜섬웨어 공격을 IP 도용을 위한 위장 수단으로 사용하는 중국 APT 그룹

이 보고서에서 설명한 국가 지원 위협 활동 그룹과 반도체 기업에 대한 사이버 공격 사이의 직접적인 연관성은 발견하지 못했지만, Secureworks의 연구원들은 2021년부터 활동한 중국 기반 APT 행위자인 브론즈 스타라이트를 발견했습니다. 브론즈 스타라이트는 랜섬웨어와 이중 갈취 공격을 조직적인 국가 지원 사이버 스파이 활동과 지적 재산 도용을 위한 위장으로 사용하고 있습니다. 시큐어웍스는 브론즈 스타라이트 피해자의 4분의 3이 제약 회사, 전자 부품 설계자, 제조 회사 등 일반적으로 국가가 후원하는 중국 사이버 첩보 단체의 관심을 받아온 조직이라고 보고했습니다. APT 그룹은 공격에 최소 5가지 랜섬웨어 변종을 사용했습니다: 락파일, 아톰실로, 루크, 나이트 스카이, 판도라. 이 그룹은 민감한 데이터를 암호화하고 피해 조직에 데이터를 공개적으로 유출하겠다고 협박하는 이중 갈취 전술을 사용하여 표면적으로는 금전적 동기를 가진 것처럼 보이게 합니다.

그러나 시큐어웍스는 실제 목적은 중국의 경제적 목표를 지원하기 위한 사이버 스파이 활동과 지적 재산 절도이며, APT 그룹은 각 랜섬웨어 제품군마다 단기간에 걸쳐 소수의 피해자만 노렸다고 주장합니다. 이렇게 짧은 기간과 적은 수의 피해자로 인해 보안 연구자들의 관심이 집중되지 않아 APT 그룹이 아닌 랜섬웨어 그룹으로 귀속되는 경우가 많습니다. 이러한 특성은 일반적인 랜섬웨어 조직의 운영 방식과 일치하지 않습니다. 조직은 일반적으로 범죄 활동으로 최대한 많은 금전적 이득을 얻기 위해 여러 조직을 대상으로 가능한 한 많은 공격을 수행합니다. 이 사례에서 브론즈 스타라이트는 중국 정부에 가치가 있다고 판단되는 고가의 IP를 보유한 표적을 신중하게 선택했으며, 겉보기에 가치가 없어 보이는 정보나 데이터를 보유한 다른 조직은 공격하지 않았습니다. 브론즈 스타라이트는 또한 중국 지원 위협 그룹과 독점적으로 연결된 원격 액세스 트로이목마(RAT)인 비교적 드문 버전의 PlugX와 함께 HUI 로더를 사용한 것으로 보고되었습니다.

편집자 주: 이 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.

관련