2019.06.28

통신업체들, 오퍼레이션 소프트 셀 공격에 장기적으로 정보가 털렸다…사이버리즌

Dan Swinhoe | CSO
사이버공격 그룹이 오퍼레이션 소프트 셀(Operation Soft Cell)이라는 공격으로 전세계 통신업체로부터 100GB 이상의 통화 기록 데이터를 훔친 것으로 추정되지만 이 보다 훨씬 더 많을 수도 있다. 공격자는 원하는 경우, 기지국 네트워크를 멈출 수도 있다. 
 
ⓒ IDGNS 
           
전 세계 통신업체를 표적으로 하는 장기적이고 대규모 공격이 발견됐다. 보안업체 사이버리즌(Cybereason)에 의해 발견된 오퍼레이션 소프트 셀(Operation Soft Cell)이라는 이름의 공격은 수백 기가 바이트의 정보를 유출한 것으로 파악됐다. 

사이버리즌은 침입자가 해킹한 네트워크에 대해 완전한 통제권을 갖고 있으며, 원할 경우 쉽게 전체 이동통신 네트워크를 중단시킬 수 있다고 주장했다. 

사이버리즌 수석보안연구원이자 이 보고서 작성자인 아밋 서퍼는 "이동통신 서비스는 요즘 매우 중요한 인프라스트럭처다. 정말 걱정되는 부분은 공격자가 액세스 권한을 완전히 장악한 네트워크의 양이다. 공격자들이 저지를 수 있는 최악의 사태는 어느 날 이동통신 전체 네트워크를 멈추는 것이다"고 우려했다.

사이버리즌은 이에 포함되어 있는 10개의 통신업체의 이름을 밝히지 않았다. 하지만 서퍼는 유럽, 아시아, 중동, 아프리카에 걸쳐 있다고 말했다. 사이버리즌은 북미 통신업체가 해킹당했다는 증거는 찾지 못했다고 전했다.

사이버리즌은 해당 공격에 사용된 도구, 전술, 및 절차의 유사성을 바탕으로 중국계 APT10의 소행이라고 주장했다. 


공격자, 통신 네트워크에 대한 완전한 제어권한 획득

사이버리즌에 따르면, 공격자는 7년 이상의 기간동안 정보기관을 대신해 통화 세부 기록(Call Detail Records, CDR)에서 100GB 이상의 정보를 추출했다. 서퍼는 “이는 매우 정교한 공격이며, 밖으로 드러나는 활동이 아니다. 정보 수집 기관을 위한 전략적인 운영이다”고 말했다. 

CDR에는 전화 및 문자 로그, 기기 정보와 소유자의 실제 위치를 제공할 수 있는 기지국 위치 데이터가 들어있다. 이 메타 데이터는 전송되는 통화 및 문자 내용에 대한 정보를 제공하진 않지만, 개인의 움직임과 개인 네트워크에 대한 상세한 현황을 제공할 수 있기 때문에 재정적인 이유보다는 정보 수집을 위해 운영했음을 알 수 있다. 이 기록에는 기본적으로 휴대전화가 송수신하는 모든 원시 정보 및 원시 메타 데이터가 포함되어 있다.  

공격자는 정찰을 실시하고 네트워크에 확산되기 전에는 취약한 공공 서버를 통해 액세스 권한을 획득한 것으로 알려졌다. 자격증명을 해킹함으로써 높은 권한을 가진 도메인 사용자 계정을 만들 수 있었다. 서퍼는 “공격자는 자신의 도메인 관리자 계정을 갖고 있으며, 이미 액티브 디렉토리(Active Directory) 데이터베이스 전체를 추출해 액티브 디렉토리의 모든 기록에 액세스할 수 있다”고 설명했다.

공격자의 목표는 정보 수집이었지만 공격 그룹은 네트워크에 대한 완전한 통제권을 갖고 있으며, 원할 경우 서비스를 중단시킬 수 있다. 서퍼는 "그들은 네트워크에 대한 완전한 통제권을 장악했다. 오늘은 CDR을 수집하고 있지만, 내일은 네트워크를 폐쇄할 수도 있다"고 말했다. 


정보 수집은 계속될 수도 있다 

이 공격 그룹은 각자의 CDR 정보를 위해 최소 20명의 개인을 목표로 삼았다. 이는 불특정 기회주의라기보다는 특정 기관을 표적화한 공격이었음을 추정할 수 있다. 서퍼는 “이들은 지불 데이터가 아니며 신용카드를 훔친 것도 아니다. 그들은 정보기관에서 매우 유용하게 쓰일 특별한 CDR을 훔쳤다"고 말했다.  

사이버리즌은 이 조사를 9개월 동안 진행했으며 잠재적으로 해킹당했다고 확인된 고객과 다른 모든 회사에 통보했다. 조사는 계속 진행 중이기 때문에 이후 후속 조치에 대한 사항은 말하지 않았다. 

서퍼는 이 공격의 피해자가 누군지 알려질 것이기 때문에 IOC(Indicators of Compromise)는 공개하지 않았다. 다만 최근 사이버리즌은 전세계 25개 통신업체의 수장을 만나 공격의 세부 사항을 제공했다고 전했다. 

서퍼는 “CDR을 보유하고 있는 기업은 데이터베이스에 액세스할 수 있는 사람을 감사하고 이를 면밀히 모니터링해야 한다. 외부 서버가 완전히 패치되고 취약한 코드가 없는 지 확인해야 한다”고 조언했다. 


APT10의 정체는  

이런 상황에서 원인 분석은 어렵지만 이 공격은 다른 그룹이 모방 전술을 사용했을 수도 있다. 사이버리즌은 "이번 공격이 매우 높은 확률로 국가나 국가가 후원하는 위협 집단임을 추정할 수 있다"면서, "APT10일 가능성이 높다"고 확신했다.

서퍼는 “도구, 행동, 절차, 전술 등 모든 것이 중국의 특정 그룹을 가리키고 있다. 이것이 APT10이라고 생각하지만 APT13일 수도 있다”고 말했다. 

메뉴패스(menuPass) 팀으로 알려진 APT10은 적어도 2009년부터 활동해 왔으며, 중국을 대신해 일하는 것으로 추정된다. 이 그룹은 이전에 미국, 유럽, 일본의 정부뿐만 아니라 건설, 엔지니어링, 우주항공, 통신업체들을 대상으로 공격했다. 

2016년에는 PwC가 오퍼레이션 클라우드 호퍼(Operation Cloud Hopper)라고 명명한 MSP(Managed Service Providers)를 표적으로 한 캠페인을 이행한 바 있다. 이 캠페인에 사용한 관련 악성 프로그램은 헤이메이커(Haymaker)와 스넉라이드(Snugride), 버그주스(Bugjuice), 콰사라트(Quasarrat)가 있다. 2018년 12월, APT10에 가입하고 중국 국가안전부와 협력한 2명의 중국인이 미국 법무부에 의해 기소된 바 있다. 

이 공격 그룹은 알려진 도구의 커스터마이즈된 버전을 사용했으며, 이 가운데 상당수는 중국 링크된 위협 요소에 기인한 공격에 정기적으로 사용된다. 여기에는 RAT(Poison Ivy Remote Access Tool), 차이나 초퍼(China Chopper) 웹 셸, 수정된 NBT스캔(NBTScan) 도구, 그리고 비밀번호 탈취 도구인 미미캐츠(Mimikatz)의 고도로 수정되고 커스터마이징된 버전 등이 포함됐다. 

공격자는 표적으로 삼은 환경에서 도구가 제대로 작동하고 보안 제품으로부터 탐지를 회피하기 위해 많은 수정 작업을 거쳤다. 이 공격 그룹은 느리게 움직였고 때로는 수 개월 간 행동을 기다리는 경우도 있었다. 서퍼는 "우리는 이를 로 엔 슬로우(low and slow) 공격이라 부른다. 때로는 도구가 네트워크 내에서 제대로 작동하기 위해 커스터마이징을 할 필요가 있으며, 도구가 탐지되어 일부 도구를 변경해 탐지되지 않게 할 수도 있다"고 설명했다.
 
사이버리즌은 침입자가 7년 동안 해킹한 네트워크에 있을 수도 있다고 생각한다. 서퍼는 "일부 침해 사례에서 우리는 2012년, 즉 7년 전으로 거슬러 올라간 이전 버전의 악성코드를 발견한 적이 있다"고 말했다.
 
이 증거가 공격의 시기를 명확하게 나타내는 것은 아니지만, 위협 행위자는 네트워크에 쉽게 액세스할 수 있도록 자체 VPN 시스템을 설치할 가치가 있다고 생각할만큼 오래 머물렀다. 

서퍼는 "이는 매우 뻔뻔한 행동이다. 7년동안 네트워크에 있었고, 액세스 권한이 줄곧 존재하면서 그들은 자신들을 건들일 수 없다고 생각하고 자만심이 들었을 수도 있다"고 분석했다.
 

통신업체, "사이버보안 게임을 시작해야 한다" 

최근 화웨이로 인해 5G 및 통신 보안에 대한 많은 관심이 있었지만, 이번 공격은 통신업체가 차세대 이동통신을 맞이해 보안을 따라잡는 중임을 보여준다. 이피션트IP(EfficientIP)의 2018년 글로벌 DNS 위협 보고서에 따르면, 통신업체 가운데 1/3은 지난 12개월 동안 민감한 고객 정보를 잃어버렸다. 

최근 사건에서 영국 국립 컴퓨터 보안센터(National Computer Security Center, NCSC) CEO 시아란 마틴은 “과거 통신 시장에서는 제대로 된 사이버보안을 장려하지 않은 구조적이고 지속적인 문제가 있었다. 이번 기회에 사이버보안과 인프라에 대한 탄력성을 확보하기 위해 통신 보안을 근본적으로 변화시킬 필요가 있다. 따라서 화웨이보다 5G 보안에 훨씬 더 많은 신경을 써야 한다”고 말했다.  

빈약한 보안이 오퍼레이션 소프트 셸의 성공에 일정 책임이 있다는 주장에 서퍼는 통신업체들을 변호했다. 

서퍼는 "만약 국가가 어딘가에 침입하길 원한다면 그들은 들어갈 것이다. 단지 시간 문제이며 노력과 자원 양의 차이일뿐이다. 결국 해킹은 일어날 것이고 그들은 액세스 권한을 획득할 것이다. 나는 이것이 공격받는 조직의 보안 태세에 아무런 책임이 없다고 말하는 것은 아니다"고 말했다. editor@itworld.co.kr 


2019.06.28

통신업체들, 오퍼레이션 소프트 셀 공격에 장기적으로 정보가 털렸다…사이버리즌

Dan Swinhoe | CSO
사이버공격 그룹이 오퍼레이션 소프트 셀(Operation Soft Cell)이라는 공격으로 전세계 통신업체로부터 100GB 이상의 통화 기록 데이터를 훔친 것으로 추정되지만 이 보다 훨씬 더 많을 수도 있다. 공격자는 원하는 경우, 기지국 네트워크를 멈출 수도 있다. 
 
ⓒ IDGNS 
           
전 세계 통신업체를 표적으로 하는 장기적이고 대규모 공격이 발견됐다. 보안업체 사이버리즌(Cybereason)에 의해 발견된 오퍼레이션 소프트 셀(Operation Soft Cell)이라는 이름의 공격은 수백 기가 바이트의 정보를 유출한 것으로 파악됐다. 

사이버리즌은 침입자가 해킹한 네트워크에 대해 완전한 통제권을 갖고 있으며, 원할 경우 쉽게 전체 이동통신 네트워크를 중단시킬 수 있다고 주장했다. 

사이버리즌 수석보안연구원이자 이 보고서 작성자인 아밋 서퍼는 "이동통신 서비스는 요즘 매우 중요한 인프라스트럭처다. 정말 걱정되는 부분은 공격자가 액세스 권한을 완전히 장악한 네트워크의 양이다. 공격자들이 저지를 수 있는 최악의 사태는 어느 날 이동통신 전체 네트워크를 멈추는 것이다"고 우려했다.

사이버리즌은 이에 포함되어 있는 10개의 통신업체의 이름을 밝히지 않았다. 하지만 서퍼는 유럽, 아시아, 중동, 아프리카에 걸쳐 있다고 말했다. 사이버리즌은 북미 통신업체가 해킹당했다는 증거는 찾지 못했다고 전했다.

사이버리즌은 해당 공격에 사용된 도구, 전술, 및 절차의 유사성을 바탕으로 중국계 APT10의 소행이라고 주장했다. 


공격자, 통신 네트워크에 대한 완전한 제어권한 획득

사이버리즌에 따르면, 공격자는 7년 이상의 기간동안 정보기관을 대신해 통화 세부 기록(Call Detail Records, CDR)에서 100GB 이상의 정보를 추출했다. 서퍼는 “이는 매우 정교한 공격이며, 밖으로 드러나는 활동이 아니다. 정보 수집 기관을 위한 전략적인 운영이다”고 말했다. 

CDR에는 전화 및 문자 로그, 기기 정보와 소유자의 실제 위치를 제공할 수 있는 기지국 위치 데이터가 들어있다. 이 메타 데이터는 전송되는 통화 및 문자 내용에 대한 정보를 제공하진 않지만, 개인의 움직임과 개인 네트워크에 대한 상세한 현황을 제공할 수 있기 때문에 재정적인 이유보다는 정보 수집을 위해 운영했음을 알 수 있다. 이 기록에는 기본적으로 휴대전화가 송수신하는 모든 원시 정보 및 원시 메타 데이터가 포함되어 있다.  

공격자는 정찰을 실시하고 네트워크에 확산되기 전에는 취약한 공공 서버를 통해 액세스 권한을 획득한 것으로 알려졌다. 자격증명을 해킹함으로써 높은 권한을 가진 도메인 사용자 계정을 만들 수 있었다. 서퍼는 “공격자는 자신의 도메인 관리자 계정을 갖고 있으며, 이미 액티브 디렉토리(Active Directory) 데이터베이스 전체를 추출해 액티브 디렉토리의 모든 기록에 액세스할 수 있다”고 설명했다.

공격자의 목표는 정보 수집이었지만 공격 그룹은 네트워크에 대한 완전한 통제권을 갖고 있으며, 원할 경우 서비스를 중단시킬 수 있다. 서퍼는 "그들은 네트워크에 대한 완전한 통제권을 장악했다. 오늘은 CDR을 수집하고 있지만, 내일은 네트워크를 폐쇄할 수도 있다"고 말했다. 


정보 수집은 계속될 수도 있다 

이 공격 그룹은 각자의 CDR 정보를 위해 최소 20명의 개인을 목표로 삼았다. 이는 불특정 기회주의라기보다는 특정 기관을 표적화한 공격이었음을 추정할 수 있다. 서퍼는 “이들은 지불 데이터가 아니며 신용카드를 훔친 것도 아니다. 그들은 정보기관에서 매우 유용하게 쓰일 특별한 CDR을 훔쳤다"고 말했다.  

사이버리즌은 이 조사를 9개월 동안 진행했으며 잠재적으로 해킹당했다고 확인된 고객과 다른 모든 회사에 통보했다. 조사는 계속 진행 중이기 때문에 이후 후속 조치에 대한 사항은 말하지 않았다. 

서퍼는 이 공격의 피해자가 누군지 알려질 것이기 때문에 IOC(Indicators of Compromise)는 공개하지 않았다. 다만 최근 사이버리즌은 전세계 25개 통신업체의 수장을 만나 공격의 세부 사항을 제공했다고 전했다. 

서퍼는 “CDR을 보유하고 있는 기업은 데이터베이스에 액세스할 수 있는 사람을 감사하고 이를 면밀히 모니터링해야 한다. 외부 서버가 완전히 패치되고 취약한 코드가 없는 지 확인해야 한다”고 조언했다. 


APT10의 정체는  

이런 상황에서 원인 분석은 어렵지만 이 공격은 다른 그룹이 모방 전술을 사용했을 수도 있다. 사이버리즌은 "이번 공격이 매우 높은 확률로 국가나 국가가 후원하는 위협 집단임을 추정할 수 있다"면서, "APT10일 가능성이 높다"고 확신했다.

서퍼는 “도구, 행동, 절차, 전술 등 모든 것이 중국의 특정 그룹을 가리키고 있다. 이것이 APT10이라고 생각하지만 APT13일 수도 있다”고 말했다. 

메뉴패스(menuPass) 팀으로 알려진 APT10은 적어도 2009년부터 활동해 왔으며, 중국을 대신해 일하는 것으로 추정된다. 이 그룹은 이전에 미국, 유럽, 일본의 정부뿐만 아니라 건설, 엔지니어링, 우주항공, 통신업체들을 대상으로 공격했다. 

2016년에는 PwC가 오퍼레이션 클라우드 호퍼(Operation Cloud Hopper)라고 명명한 MSP(Managed Service Providers)를 표적으로 한 캠페인을 이행한 바 있다. 이 캠페인에 사용한 관련 악성 프로그램은 헤이메이커(Haymaker)와 스넉라이드(Snugride), 버그주스(Bugjuice), 콰사라트(Quasarrat)가 있다. 2018년 12월, APT10에 가입하고 중국 국가안전부와 협력한 2명의 중국인이 미국 법무부에 의해 기소된 바 있다. 

이 공격 그룹은 알려진 도구의 커스터마이즈된 버전을 사용했으며, 이 가운데 상당수는 중국 링크된 위협 요소에 기인한 공격에 정기적으로 사용된다. 여기에는 RAT(Poison Ivy Remote Access Tool), 차이나 초퍼(China Chopper) 웹 셸, 수정된 NBT스캔(NBTScan) 도구, 그리고 비밀번호 탈취 도구인 미미캐츠(Mimikatz)의 고도로 수정되고 커스터마이징된 버전 등이 포함됐다. 

공격자는 표적으로 삼은 환경에서 도구가 제대로 작동하고 보안 제품으로부터 탐지를 회피하기 위해 많은 수정 작업을 거쳤다. 이 공격 그룹은 느리게 움직였고 때로는 수 개월 간 행동을 기다리는 경우도 있었다. 서퍼는 "우리는 이를 로 엔 슬로우(low and slow) 공격이라 부른다. 때로는 도구가 네트워크 내에서 제대로 작동하기 위해 커스터마이징을 할 필요가 있으며, 도구가 탐지되어 일부 도구를 변경해 탐지되지 않게 할 수도 있다"고 설명했다.
 
사이버리즌은 침입자가 7년 동안 해킹한 네트워크에 있을 수도 있다고 생각한다. 서퍼는 "일부 침해 사례에서 우리는 2012년, 즉 7년 전으로 거슬러 올라간 이전 버전의 악성코드를 발견한 적이 있다"고 말했다.
 
이 증거가 공격의 시기를 명확하게 나타내는 것은 아니지만, 위협 행위자는 네트워크에 쉽게 액세스할 수 있도록 자체 VPN 시스템을 설치할 가치가 있다고 생각할만큼 오래 머물렀다. 

서퍼는 "이는 매우 뻔뻔한 행동이다. 7년동안 네트워크에 있었고, 액세스 권한이 줄곧 존재하면서 그들은 자신들을 건들일 수 없다고 생각하고 자만심이 들었을 수도 있다"고 분석했다.
 

통신업체, "사이버보안 게임을 시작해야 한다" 

최근 화웨이로 인해 5G 및 통신 보안에 대한 많은 관심이 있었지만, 이번 공격은 통신업체가 차세대 이동통신을 맞이해 보안을 따라잡는 중임을 보여준다. 이피션트IP(EfficientIP)의 2018년 글로벌 DNS 위협 보고서에 따르면, 통신업체 가운데 1/3은 지난 12개월 동안 민감한 고객 정보를 잃어버렸다. 

최근 사건에서 영국 국립 컴퓨터 보안센터(National Computer Security Center, NCSC) CEO 시아란 마틴은 “과거 통신 시장에서는 제대로 된 사이버보안을 장려하지 않은 구조적이고 지속적인 문제가 있었다. 이번 기회에 사이버보안과 인프라에 대한 탄력성을 확보하기 위해 통신 보안을 근본적으로 변화시킬 필요가 있다. 따라서 화웨이보다 5G 보안에 훨씬 더 많은 신경을 써야 한다”고 말했다.  

빈약한 보안이 오퍼레이션 소프트 셸의 성공에 일정 책임이 있다는 주장에 서퍼는 통신업체들을 변호했다. 

서퍼는 "만약 국가가 어딘가에 침입하길 원한다면 그들은 들어갈 것이다. 단지 시간 문제이며 노력과 자원 양의 차이일뿐이다. 결국 해킹은 일어날 것이고 그들은 액세스 권한을 획득할 것이다. 나는 이것이 공격받는 조직의 보안 태세에 아무런 책임이 없다고 말하는 것은 아니다"고 말했다. editor@itworld.co.kr 


X