>
연구(Insikt)

예멘 내전의 근본적인 차원: 인터넷 통제

게시일: 2018년 11월 28일
작성자: Insikt Group

insikt-group-logo-updated.png

전체 분석 내용을 PDF로 다운로드하려면 여기를 클릭하세요.

범위 참고: 이 연구의 출처에는 Recorded Future 플랫폼, Recorded Future 멀웨어 폭발, Citizen Lab, Shodan, VirusTotal, Censys, ReversingLabs 및 타사 메타데이터의 결과와 방법이 포함됩니다. 레코디드 퓨처는 예멘의 현재 IP 환경을 정량화하는 데 도움을 준 Rapid7과 국가 노출 지수에 감사를 표합니다. 레코디드 퓨처는 또한 안드로이드 디바이스 멀웨어 샘플을 분석하는 데 제품을 사용해준 Joe Security에도 감사의 뜻을 전합니다.

Executive Summary

예멘 내전이 계속되고 있는 가운데, 현지 및 해외 플레이어들은 인터넷 통제 및 기타 사이버 수단을 통해 2차 전쟁을 벌이고 있습니다. 레코디드 퓨처의 인식트 그룹은 예멘 내전의 역학관계가 예멘인들의 인터넷 접근, 사용, 통제권을 둘러싼 투쟁을 통해 온라인에서 드러나고 있다고 평가합니다. 레코디드 퓨처는 예멘 내에서 검열 통제와 이러한 통제를 무력화하려는 트래픽, 그리고 스파이웨어 활동을 모두 확인했습니다. 이 보고서는 예멘의 인터넷 활동, 사용, 접속에 대한 기준선을 설정하기 위한 것입니다.

주요 판단

  • 2014년 9월 예멘의 수도 사나를 점령한 후티 반군은 지난 3년 동안 인터넷 활동을 방해, 저하, 감시하는 데 사용했던 것과 동일한 액세스 제어 및 검열 도구를 사용하여 주요 ISP인 예멘넷을 감독해 왔습니다.

  • 레코디드 퓨처는 사나 내 후티 반군이 예멘넷의 방대한 IP 인프라를 활용하여 코인하이브 채굴 서비스를 호스팅하여 수익을 창출하고 있다고 중간 정도의 확신을 가지고 평가하고 있습니다.

  • 예멘넷에서 호스팅되는 공식 정부 사이트와 .ye 도메인 공간이 아덴의 하디 정부가 아닌 사나의 후티 정부를 반영하도록 변경된 가운데, 레코디드 퓨처는 예멘넷의 메인 네임 서버와 최근까지 500개 이상의 공식 .ye 도메인을 호스팅했던 여러 서버에서 일부 취약점을 발견했습니다. 도메인.

  • 현재 사나 대신 아덴에 있는 하디 정부는 2018년 6월에 새로운 ISP인 아덴넷을 만들었습니다. 인터넷 가입과 모바일 가입이 계속 증가함에 따라 국내 인터넷의 새로운 회복력을 이끌어낼 수 있다고 생각합니다.

  • 예멘의 인터넷 사용자 중 일부가 정부의 통제를 우회하기 위해 VPN, Tor 또는 DNS 재귀 기능이 있는 라우터를 사용하고 있습니다.

  • 예멘에서 발생한 의심스러운 인터넷 관련 활동은 낮은 수준의 애드웨어와 스파이웨어를 시사하지만, 배후에 있는 공격자에 대한 정보는 결정적이지 않습니다.

  • 미국, 러시아, 중국을 비롯한 주요 국제 국가들은 예멘 내 패권을 차지하기 위해 악성코드, 군사 활동, 정치적 영향력, 투자를 통해 사우디-이란 지역 분쟁에서 자국의 이익을 추구하고 있습니다.

예멘-인터넷-활동-1-2.png

이 분석의 그래픽 표현.

배경

예멘은 2015년부터 계속되는 내전에 휘말려 있습니다. 예멘은 다른 아라비아 반도에 비해 상대적으로 다문화적인 국가이기 때문에 종파적, 종교적, 정치적 분열이 분쟁을 부추기고 있습니다. 예멘인들은 1962년부터 1970년까지 북부 예멘에서 발생한 분쟁과 1990년 통일에 저항한 1994년의 유혈 전쟁 등 여러 차례의 내전을 견뎌냈습니다. 예멘의 전 대통령인 알리 압둘라 살레는 예멘의 모든 내부 투쟁에 대해 국가 통치를 '뱀의 머리 위에서 춤을 추는 것과 비슷하다'고 표현했습니다."

현재의 내전은 2011년 알리 압둘라 살레 대통령이 권좌에서 물러나게 한 ' 아랍의 봄'으로 촉발된 일련의 유혈 시위로 거슬러 올라갑니다. 이로 인해 부통령인 압드라부 만수르 하디는 예멘에 통일 정부를 구성해야 하는 어려운 상황에 처하게 되었습니다. 하디는 결국 통일에 실패했고, 국가는 대부분 무정부 상태로 남았습니다. 통제력 부재는 반란 세력의 성장과 외국의 지원을 받는 경쟁 정부, 극단주의 문제가 곪아 터지는 권력 공백으로 이어졌습니다.

자이디 시아파 후티 반군은 대부분 반군으로 간주되며 이란 정권의 지원과 보급을 받고 있습니다. 이 파벌은 살레가 자신의 파벌을 결성하기 전 살레에게 충성했던 예멘 군인들로 구성되었으며, 이후 2017년 살레가 살해당했습니다. 이 세력은 사우디의 지원을 받는 압드라부 만수르 하디 정부와 싸우고 있으며, 현재 예멘의 정치적 통제권을 주장하며 국제적으로 인정받는 예멘 정부입니다. 시아파가 다수인 후티와 달리 하디 정부를 지지하는 사람들은 대부분 수니파 무슬림이기 때문에 이는 종파적 긴장을 불러일으킵니다. 아랍에미리트는 2007년부터 예멘에서 분리 독립을 적극적으로 시도하고 있는 남부 운동의 분파 그룹인 세 번째 남부 분리주의자 그룹에 자금을 지원하고 있습니다. 이 단체는 이전에 분리되어 있던 북예멘과 남예멘이 통합되어 하나의 국가가 된 1990년의 국경을 다시 설정하기를 희망합니다. 남부 운동 역시 주로 시아파가 주를 이룹니다. 이 그룹은 주로 예멘 국경 내의 다양한 인구 집단을 대표합니다.

또한, 아라비아 반도의 알카에다 잔존 세력(AQAP)은 요르단 중앙에 넓은 영토를 계속 점령하고 있습니다. AQAP는 알카에다의 가장 유명한 연계 조직 중 하나로, 포트 후드, 리틀록, USS 콜 호, 디트로이트에서 발생한 비행기 폭파 테러와 예멘 탈옥 사건의 배후에 외로운 늑대들이 있다는 혐의를 받고 있습니다. 이 그룹은 2011년에 안사르 알 샤리아로 이름을 바꾸고 예멘에서 영토를 확보하는 데 주력하기 시작했습니다. 이 단체는 최근 몇 년 동안 주로 후티의 시설을 공격하는 민병대 및 테러 조직으로 활동해 왔습니다. 이슬람 국가에서도 비슷한 제휴 모델을 시도했지만 대부분 실패로 돌아갔습니다. 최근 예멘 이슬람 국가에 대한 보도는 알카에다와 IS 간의 교전을 둘러싸고 있습니다.

예멘은 전쟁터로서 지역 및 세계 강대국들이 자국의 힘을 투사하고 이해관계를 드러내려는 흥미로운 축소판입니다. 예멘 내전은 이란과 사우디가 지역 패권을 놓고 벌이는 대리전 양상의 중심에 있습니다. 후티가 장악한 지역은 사우디아라비아의 공습 작전인 '결정적 폭풍'의 표적이 되었으며, 유엔은 비전투원이 계속 살해되고 있다고 주장하고 있습니다. 미군에 따르면 이란은 후티 반군이 바브 알 만데브 해협에서 선박 항로를 차단할 수 있는 무기를 도입했습니다. 미국과 이란 간의 긴장이 고조되는 가운데 이란은 한반도를 가로지르는 호르무즈 해협을 통제할 능력을 갖추고 있으며 미국이 너무 공격적이라고 판단하면 봉쇄를 위협하고 있습니다. 레코디드 퓨처는 예멘 사이버 군이 사우디 정부 기관을 공격하는 애국적 해킹 그룹으로 부상한 2015년에도 이란과 사우디아라비아의 예멘 내 사이버 분쟁에 대해 보도한 바 있습니다. 이 그룹은 이후 이란과 연결되었습니다.

이 지역 분쟁은 아라비아 반도와 이 지역의 항로에서 러시아와 미국의 이해관계가 상충하는 상황과 맞물려 있습니다. 미국은 또한 이 지역에서 이슬람 국가(IS)와 알카에다의 존재를 제거하기 위한 적극적인 캠페인을 주도해 왔으며, 공습과 값비싼 특수 작전으로 민간인 사망자가 발생하는 희생을 치르면서도 IS 격퇴에 성공을 거두었습니다. 반대로 제이미스타운 재단은 러시아가 전쟁의 정치적 해결책을 감독하기 위해 민간 군사 계약자를 예멘에 파견했다고 추측했습니다. 카네기재단은 러시아가 홍해에서 영향력을 확대하고 힘을 과시하려는 목표에 관여하고 있다고 생각합니다.

중국은 또한 한반도 안정에 대한 관심을 높이며 2017년경부터 하디 정부 및 사우디의 지원을 받는 세력과 협력하고 있습니다. 중국과 사우디아라비아 정부는 기존의 국방 관계를 유지하고 있지만, 예멘 분쟁이 해결되면 밥 알 만데브 해협과 주변 지역 주변의 중국 선박에 대한 위험을 줄이는 데 도움이 될 것입니다. 이 해협은 중국의 국력을 사우디아라비아 및 더 넓은 중동 지역에 투사하기 위해 설계된 대규모 인프라 프로젝트인 일대일로 이니셔티브의 핵심 통과 경로입니다.

인프라

예멘의 인터넷 인프라는 이 나라에 작용하는 국제적 힘을 반영합니다. 계속되는 분쟁으로 인해 인터넷 공간 할당과 시민들의 인터넷 액세스 능력이 저하되고 있습니다. Rapid7의 국가 노출 지수에 따르면 예멘 ASN은 135,168개의 IP 주소를 할당받았지만 17,934개의 주소만 할당되어 사용률이 저조한 것으로 나타났습니다. DomainTools에 따르면, .ye 도메인은 1152개에 불과합니다. 도메인이 등록되어 있습니다(.ye는 예멘넷에서 관리). 예멘 출신이라고 자진 신고한 사람들이 7,845개의 도메인을 등록했으며, 이 중 가장 인기 있는 도메인은 .com입니다. 네 번째로 인기 있는 TLD는 .ye입니다. 예멘은 인구는 전 세계 50위이지만 도메인 등록 수는 148위입니다.

지난 4년 동안 예멘의 영토가 바뀌면서 인터넷 자원에 대한 통제권도 바뀌었습니다. 후티 반군이 수도 사나를 점령하면서 예멘의 주요 인터넷 제공업체인 예멘넷도 장악했습니다. 예멘넷은 중단이 발생하기 쉬우며, 이전에 사이버물리적 수단으로 인해 중단된 적이 있습니다.

해저 케이블

3개의 착륙 지점에서 예멘에 서비스를 제공하는 4개의 해저 케이블이 있습니다. 아래 이미지에서 볼 수 있듯이 FALCON 해저 케이블은 알가이다와 알후다다에 착륙 지점이 있고, SEA-ME-WE 5도 알후다다에 착륙 지점이 있으며, AAE-1과 아덴-지부티는 아덴에 착륙 지점이 있습니다.

후티의 통제 하에 있는 TeleYemen(따라서 예멘넷)은 트래픽 라우팅을 위해 해저 케이블을 사용하며, 사우디 텔레콤이 제공하는 광섬유 연결을 통한 라우팅을 피할 가능성이 높습니다. 현재 예멘넷은 아덴에 착륙 지점이 있는 아시아 아프리카 유럽-1(AAE-1) 해저 케이블의 파트너인 릴라이언스 글로벌컴, 코젠트 커뮤니케이션즈, 오만텔, PCCW 글로벌과 협력하고 있습니다. 반면 아덴넷은 주로 사우디 텔레콤이 제공하는 육상 광섬유 케이블을 사용합니다.

예멘의 잠수함 상륙 지점 세 곳 중 두 곳은 현재 하디 정부가 통제하고 있습니다. 세 번째 알 후다이다는 현재 후티 반군이 장악하고 있지만, 아래 이미지에서 볼 수 있듯이 하디 정부가 공격적으로 공략하고 있는 지역입니다. 알 후다이다 항구는 기근과 콜레라 발생을 겪고 있는 국가에 식량과 의료용품을 전달하는 데 매우 중요한 역할을 합니다. 하디 정부군이 항구를 장악하면 외부 세계와 예멘넷 가입자 간의 인터넷 접속이 차단될 수 있습니다. 현재 예멘에 영향을 미치는 인도주의적 위기만큼 심각한 상황은 아니지만, 인터넷 접속 부족은 예멘 내에서 일어나는 상황을 파악하는 데 더 큰 어려움을 줄 수 있습니다.

액세스 및 검열

2015년 시티즌랩은 예멘 정부가 .ye 네임스페이스를 통제하는 유일한 국가 ISP인 예멘넷에서 예멘 국민을 위한 콘텐츠를 검열하고 있다고 보고했습니다. 예멘넷에서 사용되는 IP 및 도메인 공간의 대부분은 두 개의 캐싱 서버인 cache0.yemen.net[.]ye를 통해 필터링됩니다. 및 cache1.yemen.net[.]ye. 이를 통해 콘텐츠 모니터링 또는 트래픽 차단이 가능할 수 있습니다. 레코디드 퓨처는 쇼단을 통해 웹 콘텐츠 필터링 도구인 넷스위퍼 디바이스 한 대가 IP 82.114.160.98에 설치되어 있는 흔적을 발견했습니다. 해당 IP는 자체 서명된 SSL 인증서를 사용했지만 레코디드 퓨처는 해당 IP 주소로 오가는 트래픽을 식별할 수 없었습니다. 쇼단이나 센시스에서 이와 유사한 다른 검열 또는 접근 제어 장치는 발견되지 않았습니다.

예멘-인터넷-활동-2-2.png

인터넷 액세스 및 지역 제어의 지리적 세분화. 출처: 알 자지라, 로이터, 세계 에너지 지도, 크리티컬 위협(2018년 11월)에서 작성.

2014년 9월 예멘의 수도 사나를 점 령한 후티 반군은 예멘넷, 텔레예멘, 그리고 사나에 본사를 둔 다른 모든 통신 사업자를 장악했습니다. 2018년 6월에는 지배적인 이동통신사인 MTN 예멘의 경영권을 장악하기도 했습니다. 따라서 후티 반군은 이전에 인터넷 활동을 방해하거나 감시하는 데 사용했던 것과 동일한 액세스 제어 및 검열 도구에 액세스할 수 있으며, 이는 상자를 사용하는 운영자의 물리적 안전에 따라 온라인 또는 오프라인으로 제공될 수 있습니다. 알 아라비야의 보도에 따르면 후티 반군은 후티군의 움직임을 보도하는 도메인과 함께 WhatsApp, Facebook, Twitter, Telegram에 대한 액세스를 차단하는 데 이러한 도메인을 사용했습니다. 이를 위해 이러한 컨트롤을 사용했을 가능성이 높습니다.

예멘-인터넷-활동-3-2.png

예멘의 인터넷 활동과 눈에 띄는 공습 작전의 타임라인.

후티 반군은 또한 ISP 통제권에서 인터넷 접속을 완전히 차단하는 조치를 취했습니다. 2017년 12월 7일, 후티가 통제하는 통신정보기술부는 30분 동안 인터넷 차단을 시작했습니다. 이전에 후티 반군은 항구 도시인 아덴의 인터넷 접속을 차단했습니다. 수많은 보고서에 따르면 후티는 예멘넷의 광섬유 회선의 80% 이상을 단절하고 예멘 전역의 정보를 통제하기 위해 더욱 잔인한 접근 방식을 취했습니다.

예멘-인터넷-활동-4-2.png

주요 인터넷 서비스 제공업체의 IP 보유.

수도를 떠날 수밖에 없었던 하디 정부는 아덴에 작전 기지를 세웠습니다. 새로운 기지를 구축하려면 인터넷 접속이 필요했고, 후티가 통제하는 예멘넷에 기밀이나 돈을 뿌리거나 후티 정부의 반복적인 접속 차단에 휘둘리는 대신 2018년 6월 하디 정권은 새로운 백본 공급자인 아덴넷을 설립했습니다. 이 새로운 ISP는 아랍에미리트(UAE)가 자금을 지원했으며, 사우디 텔레콤(AS39386)의 단일 플로우를 사용하고, 중국 기술 회사 화웨이의 라우터를 사용하여 구축되었습니다. 화웨이는 중국 정부 및 군과 매우 밀접한 관계를 맺고 있는 기업이며 스파이 활동 우려로 인해 미국과 호주에서 정부 사용이 금지된 기업입니다.

아덴넷의 인프라 대부분은 예멘 외곽에 위치해 있습니다. 아덴넷 웹사이트 www.adennet4g[.]net 는 2018년 6월 20일에 GoDaddy를 통해 등록되었으며, AdenNet 메일 서버(mail.adennet4g.net)와 마찬가지로 Bluehost에서 호스팅됩니다. 두 호스트의 IP 주소는 162.241.226.169로 동일하며, Recorded Future 조사에 따르면 886개의 다른 도메인이 이 주소를 공유하고 있습니다. 셀프 서비스 포털 ssp.adennet4g[.]net과 같은 고객 서비스 기능, 할당된 AdenNet IP 공간을 사용하세요.

.net 아덴넷과 외부 인프라를 위한 gTLD는 후티 정권이 후티가 통제하는 자원을 사용하는 것을 꺼리는 것을 반영할 수 있습니다. 이는 특히 전쟁 지역 한가운데서 새로운 인터넷 인프라를 구축하는 데 따르는 어려움을 나타내는 것일 수도 있습니다. 이전 보도에 따르면 하디 대통령이 .ye 도메인에 대한 통제권을 되찾으려고 시도하고 있다고 합니다. ccTLD와 AS30873 및 AS12486 ASN을 사용할 수 있습니다. ICANN, IANA 및 RIPE의 문서를 검토한 결과, 이 보고서를 작성하는 현재 공식적인 절차가 시작되지 않은 것으로 나타났습니다. 또한, 내전 중에 이러한 자원에 대한 통제권이 인터넷 정부 기관에 의해 이전될 가능성은 매우 낮습니다.

인터넷 활동 기준 설정

예멘 내전 중 공습과 식량 부족으로 인해 1 ,800만 명이 인도적 지원을 필요로 하고 있으며 식량 비상사태가 발생했습니다. 하지만 전쟁 중에도 인터넷 활동은 줄어들지 않았습니다. CIA 월드 팩트북에 따르면 2014년 전쟁 전 인구의 19.1%였던 인터넷 사용자가 2016년에는 24.6%로 증가했습니다. 또한 인터넷 세계 통계에 따르면 인터넷 사용자는 지난 2년간 거의 비슷한 수준을 유지해 2018년에는 24.3%를 기록했습니다. 또한, 여러 소식통에 따르면 내전 이전부터 휴대폰 보급률이 50%를 넘어섰으며 지난 4년 동안 거의 동일하게 유지되거나 오히려 증가했다고 합니다.

예멘 내에서 인터넷 서비스를 이용하는 다섯 가지 형태의 사용자가 있다는 증거가 있습니다. 후티 반군은 예멘넷과 .ye 도메인에 대한 통제권을 이용해 도메인 공간을 점령하고, 정부 웹사이트는 수도 사나에 있는 현 후티 정부를 반영합니다. 예를 들어, 예멘 외교부 웹사이트에는 현재 후티 반군이 주도하는 사역에 대한 최신 목록이 포함되어 있습니다. 또한, 아덴넷의 설립으로 하디 정부는 인터넷 서비스를 더 자주 사용할 가능성이 높습니다.

예멘-인터넷-활동-5-2.png

예멘의 후티 반군이 주도하는 외교부 웹사이트(mofa.gov[.]ye 도메인) 스크린샷.

또한 대학은 여전히 국내에서도 인터넷에 접속할 수 있으며 대학생들은 여전히 인터넷 서비스를 사용하여 연구를 수행하고, 서로 소통하고, 웹을 검색하고 있습니다. 그러나 후티 반군과 하디 반군 양 진영의 공습과 폭격 공격으로 대학이 점차 표적이 되면서 대학 등록이 점점 줄어들고 있습니다. 또한, 국내 대학이 구치소로 용도가 변경되는 경우가 점점 더 많아지고 있으며, 이는 대학 인터넷 사용량 감소의 또 다른 원인일 수 있습니다.

예멘의 불균형적으로 많은 수의 가정 및 기업 사용자가 라우터에서 DNS 재귀를 사용하도록 설정하여 라우터가 라우터 뒤에 있는 사용자를 위한 캐싱 DNS 서버 역할을 할 수 있습니다. Shodan에 따르면 DNS 재귀를 사용하도록 설정된 12,000개 이상의 CPE( 고객 구내 장비 ) 라우터가 있다고 합니다. 앞서 언급했듯이 후티 반군이 시행하는 엄격한 검열을 우회하기 위해 웹과 DNS 필터링을 결합한 도구인 넷위퍼를 사용하여 불쾌하다고 판단되는 콘텐츠를 차단하고 있는 것으로 알려졌습니다.

이에 비해 예멘과 인구 규모가 비슷한 모잠비크와 가나에서는 각각 약 670개와 1200개의 개방형 DNS 서버가 쇼단에서 운영되고 있다고 보고하고 있습니다.

예멘-인터넷-활동-6-2.png

타사 메타데이터에 따른 OpenVPN 엔드포인트에 대한 예멘 트래픽 목적지 분석.

마지막으로, 여러 소식통에 따르면 예멘 시민들이 예멘의 인터넷 차단과 검열을 우회하기 위해 토르 브라우저 또는 VPN을 사용했다고 합니다. 이 사용자 그룹은 후티 반군(2017년 12월 7일 전국적으로 인터넷을 일시적으로 폐쇄한)이나 다양한 소셜 미디어 매체를 차단한 전력이 있는 하디 정부로부터 제재를 받지 않은 출처에 접속했을 가능성이 높습니다. 레코디드 퓨처는 2018년 10월에 예멘에서 VPN과 토르가 사용된 증거를 발견했습니다. 여러 아덴넷 IP에서 발생한 소량의 트래픽이 포트 9001(Tor), 1194(OpenVPN) 또는 110(IPSEC VPN 터널링)이 열려 있는 비예멘 IP에 접속하려고 시도했습니다.

예멘-인터넷-활동-7-2.png

타사 메타데이터에 따른 토르 엔드포인트로의 예멘 트래픽 목적지 분석.

하디 통제 예멘의 인터넷 사용량 정량화

아덴넷은 현재 후티가 장악하고 있는 예멘넷보다 훨씬 규모가 작습니다. 레코디드 퓨처는 ISP에서 발생하는 트래픽의 유형을 평가하기 위해 2018년 10월 1일부터 2018년 11월 6일까지 메타데이터 분석을 실시했습니다. 레코디드 퓨처가 아덴넷을 모니터링하기로 한 이유는 아덴넷이 최근에 만들어졌고, 하디 정부의 통제 하에 있기 때문에 이 ISP를 분석하면 하디가 통제하는 예멘에서 일어나는 일에 대한 통찰력을 얻는 데 유용할 것으로 판단했기 때문입니다. 2018년 6월 아덴넷이 만들어진 이후 예멘 내 대부분의 주요 도시가 폭탄 테러를 당했지만, 두 ISP와 온라인에 공개된 예멘넷 호스트 간의 트래픽을 보면 예멘넷과 아덴넷 모두 큰 문제 없이 작동하고 있는 것으로 보입니다.

예멘-인터넷-활동-8-2.png

2018년 6월 이후 예멘에서 발생한 공습 또는 폭격의 미래 지도를 기록했습니다.

주요 포트 및 프로토콜: 웹 브라우징 및 VPN

예멘 인터넷을 분석하는 동안 관찰된 대부분의 활동은 다소 놀랍게도 HTTP 또는 HTTPS를 통한 웹 브라우징 활동이었습니다. 또한 산발적인 DNS, POP3, SMTP 및 IMAP 활동도 확인했습니다. VPN 애플리케이션 사용을 나타내는 ESP(Encapsulating Security Payload) 프로토콜을 사용하는 일부 IPSEC 터널링 활동이 관찰되었습니다. 이는 예멘 사용자들이 온라인에 접속하기 위해 두 정부의 인터넷 통제를 우회하려는 시도를 하고 있다는 증거일 수 있습니다. 다른 활동으로는 인터넷 관리 프로토콜인 TELNET, SSH, 인터넷에서 가장 오래된 프로토콜 중 하나인 네트워크 뉴스 전송 프로토콜(NNTP)을 사용하여 인터넷 유즈넷 뉴스 그룹 세계의 서버 간에 뉴스 기사를 전송할 수 있도록 하는 것이 있습니다. 마지막으로, 비트토렌트 및 온라인 게임 활동의 증거와 Jabber와 같은 XMPP 메시징 애플리케이션의 사용 가능성도 발견되었습니다.

관찰된 대부분의 트래픽이 웹 브라우징 활동이었기 때문에 Recorded Future 데이터 세트 내에서 AdenNet IP에서 발생한 대부분의 트래픽이 하이윈즈, 아마존, Akamai와 같은 대형 호스팅 사이트와 콘텐츠 배포 네트워크(CDN) 제공업체로 향하는 것은 놀라운 일이 아닙니다. 놀라운 점은 서양인과 중국인 소유 호스트의 분포입니다. 알리바바와 텐센트 호스팅 서비스는 서구의 호스팅 서비스만큼 자주 접속하지는 않지만 여전히 예멘 인터넷 트래픽의 상당 부분을 차지합니다.

의심스러운 인터넷 활동

인터넷 인프라 취약점

레코디드 퓨처는 예멘의 인터넷 인프라 내에서 그리고 이 인프라에서 시작된 의심스러운 활동 사례를 여러 건 발견했습니다. 우선, 예멘이 중국 기업에 백본 인터넷 인프라를 맡긴 것은 아덴넷이 처음은 아닌 것으로 보입니다. 레코디드 퓨처의 쇼단 통합을 통해 예멘넷의 주요 네임서버 중 하나인 ns1.yemen.net[.]ye의 IP를 확인할 수 있습니다, 에는 "텐다 백도어" 모듈이 포함되어 있습니다. 이 모듈은 더 이상 쇼단에서 검색할 수 없지만, 텐다 백도어 모듈은 중국 네트워크 제조업체 텐다에서 만든 라우터 모델에서 원격 명령 실행을 수행하는 취약점 CVE-2017-16923을 사용하는 펌웨어 백도어를 말합니다.

이것이 의도적인 벤더 백도어인지 아니면 우발적인 백도어인지는 확실하지 않습니다. 네임 서버가 예멘넷 내의 다른 인프라와 연결되어 있는 경우, 국가 및 비국가 공격자 모두 이 백도어를 활용하여 ISP에 침입할 수 있습니다.

예멘-인터넷-활동-9-2.png

ns1.yemen.net[.]ye용 기록된 미래 쇼단 확장 프로그램의 스크린샷입니다.

또한 2018년 6월까지 500개 이상의 예멘 정부, 교육 및 기업 웹사이트를 호스팅한 후티가 제어하는 82.114.162.66 및 82.114.162.10 서버는 CVE-2003-1582, CVE-2009-2521, CVE-2008-1446과 같은 오래된 취약점으로 가득 차 있어 패치하지 않으면 공격자가 해당 시스템에 쉽게 접근할 수 있습니다. 많은 원래 웹사이트가 더 이상 이러한 서버에서 호스팅되지 않지만 이전 시스템 로그와 데이터가 남아 있을 가능성이 있습니다.

예멘-인터넷-활동-10-1.png

2018년 특정 날짜의 IP 82.114.162[.]66에 대한 패시브토탈 도메인 결과 스크린샷. Source: PassiveTotal.

명령 및 제어 서버

레코디드 퓨처는 쇼단과 함께 수집한 자료를 통해 원격 액세스 트로이 목마를 실행하는 예멘의 기본 명령 및 제어 서버가 다수 노출되어 있는 것을 확인했습니다. 여기에는 Bozok, DarkComet, NetBus 트로이목마가 포함됩니다.

멀웨어 샘플

레코디드 퓨처는 2015년부터 2017년까지 13개였던 예멘의 소프트웨어 샘플이 2018년에는 총 164개로 크게 증가했다고 밝혔습니다. 원인은 아직 명확하지 않습니다. 이는 아덴넷의 도입으로 더 많은 예멘 시민과 주민들이 인터넷에 지속적으로 접속할 수 있게 된 것이 원인일 수도 있지만, 위협 활동이 증가했기 때문일 수도 있습니다.

이 샘플 중 약 절반이 악성 샘플이었으며, 악성 샘플의 압도적인 다수는 안드로이드 애플리케이션이었습니다. Recorded Future는 2015년 이후 VirusTotal에 업로드된 84개의 안드로이드 샘플에서 조 시큐리티를 사용하여 AhMyth, DroidJack, Hiddad, Dianjin 등 널리 퍼진 멀웨어 군의 변종과 여러 가짜 알트코인 지갑, 가짜 Whatsapp 애플리케이션, 안티바이러스, 비디오 재생 및 VPN 애플리케이션으로 위장한 스파이웨어를 식별할 수 있었습니다. 또한 레코디드 퓨처는 조 시큐리티의 동적 분석과 레코디드 퓨처 멀웨어 탐지를 통해 안드로이드 샘플에서 얻은 애드웨어의 50%가 중국 및 서양 광고 사이트에 접속한 것으로 확인했습니다. 발견된 가짜 안티바이러스 스파이웨어 앱과 일부 AhMyth 샘플의 3분의 2가 중국 IP에 연결되어 있었습니다.

VirusTotal 데이터 세트에 포함된 대부분의 애플리케이션은 애드웨어를 제공하는 저수준의 가짜 애플리케이션으로 보입니다. 그러나 데이터 세트의 일부 스파이웨어에는 중국의 상업용 패커인 JiaGuBao가 포함되어 있습니다. 또한 중국 IP로 접속하는 가짜 안티바이러스 스파이웨어는 오래된 이메일, SMS 및 통화 기록, 브라우저 기록 등 Android 휴대폰의 정보에 액세스합니다. 접근성 서비스를 사용하여 설치된 다른 애플리케이션을 제어하고, Wi-Fi 구성을 변경하고, 휴대폰 화면이 꺼진 상태에서 서비스를 시작하고, 사진을 찍고, 다른 패키지를 삭제하는 기능을 사용할 수 있습니다. 중국이 상업적, 외교적 관점에서 예멘 내전의 결과에 관심을 갖고 있다는 것은 의심할 여지가 없습니다. 그러나 중국 IP로 접속하는 멀웨어 중 일부는 중국의 감시 목적과 일치하지만, 레코디드 퓨처는 확보한 멀웨어가 중국 국가 스파이 캠페인에서 나온 것인지 확인할 수 없었습니다. 또한 레코디드 퓨처는 예멘의 개인이 사용하는 안드로이드 폰에 광범위한 권한을 요청하는 중국 모바일 앱 몇 개를 발견했습니다. 이러한 앱은 현재 중국 앱 스토어에서만 사용할 수 있기 때문에 예멘 현지인이 사용했다기보다는 역량 강화 목적으로 예멘에 주재하는 중국인이 사용했을 가능성이 높습니다. 화웨이를 비롯한 중국 기업들은 과거 인프라 프로젝트를 건설할 때 중국 근로자를 외국에 파견한 적이 있습니다. 중국 국적자는 예멘에 있는 동안 자신에 맞는 애플리케이션을 다운로드할 가능성이 높습니다.

코인 채굴 활동

레코디드 퓨처는 예멘에서 암호화폐 채굴 서비스 코인하이브를 운영하는 973개의 호스트를 발견했습니다. 자바스크립트 기반 모네로 채굴기인 코인하이브는 후티 반군이 예멘넷을 장악한 지 2년 후인 2017년 초에 출시되었습니다. 일반적으로 웹사이트에 내장되어 있으며 사용자의 CPU 또는 처리 능력을 활용하여 웹사이트 소유자의 이익을 위해 암호화폐를 채굴합니다. 이렇게 하면 사용자가 사이트를 탐색하는 동안 브라우저를 잠그고 사용자의 디바이스 배터리를 소모 하는 경우가 많습니다. 973개 호스트는 모두 예멘넷 ASN AS30873에 속하는 MikroTik 라우터이며, 호스트 중 213개는 동일한 도메인인 dynamic.yemennet[.]ye를 공유합니다.

2018년 10월, Avast는 공격자가 CVE-2018-14847을 활용하여 널리 사용되는 익스플로잇1을 사용하고 손상된 라우터에서 코인하이브를 실행하는 데 필요한 JavaScript 코드를 삽입하는 여러 크립토재킹 캠페인에 대한 보고서를 발표했습니다 . 레코디드 퓨처는 Avast가 언급한 고유한 SSH 및 텔넷 포트를 사용하는 모네로 채굴자들을 발견했으며, 973개의 라우터 중 약 427개가 이미 Avast의 보고서에서 언급된 이전의 더 광범위한 표적 캠페인에 연루되어 있음을 확인했습니다. 나머지 546개의 라우터는 지금까지 이전 캠페인과 연결되지 않은 채 방치되어 있습니다. 미확인 호스트의 3분의 1(189명)이 후티 반군이 장악한 수도 사나에 위치해 있습니다. 코인하이브 관리자 계정에서 생성된 "고유" 사이트 키가 여러 호스트에 재사용되었으며, 이는 몇몇 계정이 이러한 호스트의 대부분을 제어하고 있음을 시사합니다.

또한 감염된 라우터는 모두 예멘넷 네트워크의 일부이며, TeleYemen이 소유한 동일한 마이크로틱 라우터는 감염되지 않았습니다. 이 예멘넷 라우터를 감염시킨 주체가 누구인지, 텔레예멘 라우터는 왜 피해를 입지 않았는지는 확인하지 못했습니다. 그러나 사용 가능한 데이터에 따르면 세 가지 가능한 시나리오가 있습니다:

  1. 이전에 Avast 보고서에서 발견된 비예멘 호스트와 코인하이브 키가 부분적으로 겹치기 때문에 TeleYemen 호스트는 또 다른 범죄 코인하이브 캠페인의 일부일 수 있습니다.

  2. 공습이나 기타 재래식 전투 중에 후티 인터넷 서비스의 용량을 저하시키려는 세력은 코인하이브 익스플로잇을 사용하여 예멘넷의 컴퓨터 속도를 저하시켜 정부 통신과 민간 온라인 서비스를 제한하고 심지어 호스트를 오프라인으로 만들 수도 있습니다.

  3. 후티 정부가 주도하는 정부는 정권을 위한 대체 화폐를 생성하기 위해 자체 호스트를 사용하려고 시도하고 있을 수 있습니다. 기근과 경제 위기의 시기에 추가 수입원을 확보하면 기근이 가장 심각한 후티 지역에 원조를 제공하고 하디 주도 정부에 대항할 재래식 무기를 추가로 구매함으로써 후티가 국내적으로 정당화하려는 노력을 강화할 수 있습니다.

관련 주체와 관계없이, 현재 코인 채굴 캠페인은 후티가 보유한 인터넷 자원을 고갈시키고 있다고 평가합니다. 모네로 채굴 알고리즘은 일반 컴퓨터가 맞춤형 채굴 칩(ASIC)이 장착된 컴퓨터만큼 쉽게 암호화폐를 생성할 수 있도록 특별히 설계되었습니다. 이는 비트코인 채굴의 경우와는 반대로, ASIC의 채굴 성능으로 인해 표준 PC를 사용할 수 없게 됩니다. 레코디드 퓨처는 이러한 노력으로 얼마나 많은 모네로가 생성되었는지 확인할 수 없었습니다.

예상 사이버 타겟팅 프로필

레코디드 퓨처는 예멘 분쟁의 주요 교전국 각각에 대해 특정 타겟팅 프로필을 예상했습니다. 이 섹션에서는 예상되는 활동과 해당 당사자에게 영향을 미치는 데이터의 차이 또는 부족을 살펴봅니다.

후티 최고 정치 위원회

후티 반군이 예멘의 방대한 인터넷 자원을 장악하고 이란의 지원을 받으며 예멘을 사실상 지배하고 있다는 사실은 사우디아라비아 정부를 계속 적대시하고 있습니다. 이로 인해 사우디 아라비아의 감시 대상이 될 가능성이 높습니다. 레코디드 퓨처는 이 감시가 주로 후티의 의도와 예멘 전역의 교전 계획을 파악하는 데 사용될 것이며 라우터, 기존 호스트, 안드로이드 모바일 기기를 대상으로 할 것으로 예상하고 있습니다. 시티즌랩은 사우디가 NSO 그룹의 페가수스 스파이 도구를 사용하여 iOS 기기를 표적으로 삼았다는 점을 들어, 사우디가 멀웨어 개발을 아웃소싱하려는 의도가 상대적으로 크다는 것을 보여주었습니다.

Lookout은 NSO 그룹의 안드로이드 디바이스용 스파이웨어인 Chrysaor가 통신을 위해 메시지 큐 원격 측정 전송(MQTT)을 사용하는 것을 발견했습니다. 이 프로토콜은 트래픽이 SSL을 통해 암호화되는 경우 TCP/IP 포트 1883과 포트 8883을 사용합니다. 이 프로토콜은 일반적인 MeetMe 소셜 미디어 플랫폼에서도 사용되며, 항상 가동 시간이 없는 원격 위치의 연결에 주로 사용됩니다. 후티가 예멘넷을 장악하고 있음에도 불구하고 레코디드 퓨처는 예멘넷이나 그 수집물에서 기존의 크리사오르 구성을 사용한 감염을 식별하지 못했습니다.

하디 정부

하디 정부는 사우디아라비아의 직접적인 지원을 받아 이웃 나라에서 수니파와 사우디의 영향력을 강화하려 하고 있으며, 이란의 지원을 받는 후티 반군과 직접 전투를 벌이고 있습니다. 레코디드 퓨처는 하디 정부와 중국의 협력으로 인해 중국의 투자 감시 차원에서라도 예멘의 활동에 대한 중국의 감시가 있을 것으로 예상했습니다. 또한, 레코디드 퓨처는 이란의 모바일 감시 멀웨어가 이란 반체제 민간인과 잠재적 이슬람국가 동조자들을 대상으로 배포된 것으로 추정하고 있으며, 체크포인트는 이 멀웨어가 이란 반체제 민간인들을 대상으로 사용된 것을 발견했습니다.

남부 분리주의자

공식적으로 남부 과도위원회(STC)로 알려진 남부 운동은 아랍에미리트의 지원을 주로 받고 있지만, 사우디 연합과 불안한 관계를 유지하며 종종 시험대에 오르고 깨지는 모습을 보였습니다. 2018년 10월, STC 세력은 아덴에서 봉기를 일으켜 하디 정부의 도시 통제권과 직접적으로 충돌했습니다. 이 활동은 유엔의 평화 요청을 더욱 자극했고, 남예멘 자치정부라는 목표에 대해 국제적으로 더 많은 인정을 받을 수 있었습니다. 아랍에미리트와 사우디 정부의 협력과 일반적인 동맹 관계로 인해 레코디드 퓨처는 사우디의 STC군 표적 공격은 예상하지 않습니다. 마찬가지로, STC가 후티 반군과 직접적으로 충돌하고 있기는 하지만, 후티 반군이 인터넷을 지속적으로 보유하거나 세포 범위를 정하지 않았기 때문에 레코디드 퓨처는 이란의 악성코드가 STC를 특별히 표적으로 삼을 것으로 예상하지 않습니다.

아라비아 반도의 알카에다

예멘에 있는 알카에다의 연계 조직은 놀랍게도 특이한 표적 공격 시나리오를 가지고 있습니다. 카네기재단에 따르면 이 단체는 후티 반군과의 싸움이라는 공동의 목표를 공유하는 사우디 주도 연합의 지원을 주로 받고 있습니다. 사우디는 극단주의자들과 비침략 조약까지 체결했습니다. 이는 미국이 거의 독점적으로 예멘의 AQAP 세력을 표적으로 삼고 있기 때문에 사우디 아라비아의 이익에 대한 미국의 지원과 상충됩니다. 이란은 사우디와 동맹을 맺은 극단주의자들이 후티 반군을 표적으로 삼는 것에 반대할 가능성이 높습니다.

카스퍼스키랩은 2012년부터 2018년까지 예멘 및 기타 국가에서 개별 라우터를 표적으로 삼는 슬링샷 프레임워크를 발견했습니다. 슬링샷은 미군이 이슬람 국가와 알카에다 조직원을 표적으로 삼기 위해 사용한 것으로 알려져 있으며, 사이버가 테러리스트 모니터링에 사용된 가장 유명한 사례로 꼽힙니다. 레코딩된 미래는 이 활동을 식별할 수 없습니다.

전망

계속되는 공습 활동, 예멘 파벌 간의 무력 충돌, 예멘의 인프라와 공중 보건의 전반적인 악화에도 불구하고 예멘의 인터넷 접속은 회복력을 보일 수 있습니다. 예멘에 이중 백본을 구축하기 위해 아덴넷을 도입함으로써 후티 반군이 사나를 점령했을 때 인터넷 접속이 차단된 수천 명의 시민에게 추가적인 네트워크 액세스 포인트가 생겼습니다. 그러나 예멘넷의 취약점은 후티 반군이 통제하는 지역 내에서 인터넷 액세스를 손상시키는 스파이 활동이나 파괴적인 캠페인으로 이어질 수 있습니다.

레코디드 퓨처는 사나 내 인플레이션이 더욱 만연함에 따라 사나의 후티 정부가 원조와 군사적 노력을 강화하기 위해 대체 화폐를 발행하려는 시도를 계속할 것이라고 중간 정도의 확신을 가지고 평가합니다. 특히 새로운 형태의 인터넷 액세스와 함께 국내 멀웨어는 계속해서 지속적인 위협이 될 것입니다. 마찬가지로, 일부 예멘 시민들은 과거에 인터넷 접속을 통제하려는 양국 정부의 의도를 이해하면서 정부의 인터넷 통제를 계속 회피할 가능성이 높습니다. 안타깝게도 정보나 사이버 수단에 대한 접근은 예멘을 기근, 콜레라 발생, 계속되는 내전의 잔혹성에서 벗어나게 하는 데 도움이 되지 않을 것입니다.

1https://www[.]github[.]com/BasuCert/WinboxPoC

관련