항공우주 및 방위 사이버 위협 인텔리전스

항공우주 및 방위 산업을 표적으로 하는 사이버 위협

항공우주 및 방위 산업 부문은 다음과 같은 목적을 추구하며 국가와 연계하여 활동하는 지능형 지속적 위협(APT) 그룹의 사이버 위협에 직면하고 있습니다.
  • 국내 항공우주 및 방위 기능을 발전시키고 대응책을 개발하고 국제 무기 시장에서 판매하기 위한 기술을 생산하기 위해 지적 재산을 유출.
  • 다른 국가의 방위 시스템 및 기능을 감시, 침투 및 파괴하기 위해 인텔리전스를 수집.
항공우주 사이버 위협
위협 목표 및 산업 전망

저희는 APT 그룹들이 그들을 후원하는 정부에 군사적, 경제적 이익을 제공할 수 있는 정보를 찾기 위해 항공우주 및 방위 산업을 계속 표적으로 삼을 것으로 예상합니다. 다음의 요인들은 이 부문에 대한 위협 활동에 추가로 영향을 미칠 수 있습니다.

  • 무인 항공기, 지향성 에너지 또는 극초음속 무기와 같은 신기술은 국가들이 최신 방위 제품의 발전을 따라잡으려고 추진함에 따라 표적의 증가를 유도할 수 있습니다.
  • 공격자들은 적대국의 능력에 대응하거나 전장에서 교란을 일으키기 위해 방위 기술을 표적으로 삼을 수 있으며, 이를 달성하기 위한 비교적 쉬운 방법은 중요한 기술들을 식별하고 이러한 플랫폼의 취약점을 찾아내는 것입니다.
  • 국제 무기 및 방위 산업의 성장으로 인해 각 국가들은 사이버 스파이 활동을 통해 지적 재산을 도용하여 자신들의 연구 개발 비용을 줄이고 신제품을 낮은 가격에 판매함으로써 시장 경쟁에서 우위를 차지하려 합니다.
  • 제3자 및 공급망 회사를 표적으로 하는 위협 범죄자가 다른 방위 산업 회사의 네트워크에 접속하기 위한 경로로 항공우주 및 방위 산업 공급망의 제3자 파트너를 이용하는 경우가 증가하고 있습니다.

 

저희는 최소한 24개의 지능형 위협 그룹이 다음의 소부문에서 조직들을 침해하는 것을 관찰했습니다.
  • 항공우주 및 방위 부품 도매업체
  • 항공우주 제품 및 부품 제조업체
  • 항공기 엔진 및 부품 제조업체
  • 유도 미사일 및 우주선 제조업체
  • 산업 및 군사 컴퓨터 시스템 제조업체
항공우주 및 방위 조직으로부터 유출되는 데이터
  • 예산 정보
  • 비즈니스 커뮤니케이션
  • 장비 유지보수 기록 및 사양
  • 조직도 및 회사 디렉토리
  • 개인 신원 확인 가능 정보
  • 제품 설계/청사진
  • 생산 공정
  • 독점 제품 또는 서비스 정보
  • 연구 보고서
  • 안전 절차
  • 시스템 로그 파일
  • 테스트 결과 및 보고서

사례연구: 항공우주 및 방위 산업 회사를 침해하는 APT 그룹

FireEye는 많은 항공우주 및 방위 기업의 위협 평가를 수행했습니다. 중국 기반 위협 그룹들은 자신들의 국내 방위 및 항공우주 회사가 경쟁력에서 우위를 차지하도록 발전하거나 중국 군대의 현대화를 지원하기 위해 이러한 회사들을 표적으로 삼습니다.

중국 기반 위협 그룹은 방위 제조업체 환경 중 최소 7개의 시스템을 침해했습니다. 위협 그룹은 통신 표준에 대한 문서를 유출했으며, 처음에 스피어 피싱 이메일을 통해 네트워크에 접근할 수 있었습니다. 공개 문서에는 직원의 이메일 주소가 포함되어 있었으며, 위협 범죄자들은 공격 전 정찰을 수행하기 위해 공개적으로 사용 가능한 소스를 사용했습니다.

다른 중국 기반 위협 그룹은 여러 해 동안 항공우주 회사에서 300개 이상의 시스템을 침해했습니다. 데이터가 침해되는 동안 저희는 그룹이 중요한 데이터를 얻는 것에 집중한 것을 발견했습니다. 이 위협 그룹은 이러한 정보를 얻을 확률이 가장 높은 특정 디렉토리를 파악하기 위해 표적 시스템을 정찰했습니다.


항공 산업을 표적으로 하는 사이버 위협

톱 5 악성코드군

FireEye는 위협 범죄자들이 다음과 같은 표적 악성코드군을 사용하여 항공우주 및 방위 부문의 조직들을 침해하는 것을 가장 자주 탐지했습니다.

Gh0stRAT는 공개적으로 사용 가능한 소스 코드로부터 추출되는 원격 접속 툴(RAT)입니다. 화면과 오디오 캡처를 수행하고, 웹캠을 활성화하고, 프로세스를 열거 및 차단하고, 명령 셸을 열고, 이벤트 로그를 지우고, 파일을 작성, 조작, 삭제, 시작, 전송할 수 있습니다.
PcClient는 공격자에게 명령을 통해 명령을 실행하고 인프라를 제어하고 키스트로그를 포함하여 중요한 데이터를 수집하고 이러한 정보를 로컬 파일에 기록할 수 있는 기능을 제공하는 백도어입니다. 이 백도어는 주로 관련된 루트킷이 있어서 일단 침해한 후에는 탐지 및 제거가 어렵습니다.
ZXSHHELL(별칭 VIPER)는 인터넷, 특히 중국 해커 웹사이트에서 다운로드될 수 있는 백도어입니다. 이 백도어는 포트 스캔을 실행하고 키로거를 실행하고 스크린샷을 캡처하고 HTTP 또는 SOCKS 프록시를 설정하고 리버스 명령 셸을 실행하고 SYN 플러드를 유발하고 파일을 전송/삭제/실행할 수 있습니다. 이 공개적으로 사용 가능한 버전의 툴은 공격자가 피해자 백도어에 접근하기 위해 사용할 수 있는 그래픽 사용자 인터페이스를 제공합니다.
NS01(별칭 Mutter)는 악성 이메일 첨부 파일을 통해 전달될 수 있는 악성코드 백도어입니다. 이 백도어는 프록시 인식을 하고 셸 명령을 실행하고 파일을 피해자에게 업로드하고 피해자의 파일을 다운로드할 수 있는 기능이 있습니다.
위치코븐은 사이트 방문자의 운영 체제, 브라우저 및 애플리케이션에 대한 정보를 얻기 위한 프로파일링 스크립트 설계입니다. APT 범죄자는 이러한 스크립트를 이용하여 컴퓨터 시스템 및 이 시스템이 속한 조직을 프로파일링하기 위해 사용되는 기술 정보를 수집하는 풋프린팅을 시행하는 것으로 의심됩니다.

톱 5 크라임웨어군

FireEye의 싱크홀 및 동적으로 공유하는 위협 데이터는 다음과 같은 크라임웨어 변종들이 항공우주 및 방위 산업 부문에서 가장 흔히 탐지되었다는 것을 보여줍니다.

Upatre는 트로이 목마 다운로더로 종종 스팸 이메일, 드라이브바이 다운로드 또는 익스플로잇을 통해 침입합니다. Upatre는 한 가지 이상의 추가 악성코드를 감염된 시스템으로 다운로드하며 Zbot, Dyre, Rovnix, CryptoLocker 및 Necurs를 포함하여 다양한 악성코드를 배포하는 것으로 관찰되었습니다.
Comame는 컴퓨터에 대한  원격 접속을 가능하게 하는 트로이 목마 바이러스입니다. 또한 키스트로크를 로깅하고 추가 악성코드를 다운로드하고 시스템 정보 및 파일 목록을 캡처하고 클릭 사기를 목적으로 웹 브라우저를 조작할 수 있는 기능을 제공합니다. 이 트로이 목마 바이러스는 또한 레지스트리를 수정 또는 생성하여 지속성을 수립할 수 있습니다.
HOUDINI(별칭 H-Worm)는 HTTP를 사용하여 통신하는 VBS 기반 RAT입니다. 이 통신은 주로 시스템의 호스트 이름, 운영 체제 및 사용자 이름을 포함하여 HTTP 헤더의 사용자-에이전트 필드에서 침해된 시스템에 대한 정보를 포함합니다. 경우에 따라, VBS 파일은 맞춤형 Base64 인코딩을 포함하여 다층의 난독화로 패킹됩니다. 이 백도어는 명령줄 실행, 프로그램 다운로드 및 실행, 데이터 유출 등 기존 백도어 기능을 제공하는 여러 가지 명령을 지원합니다.
ANDROMEDA(별칭 Gamarue)는 다목적 트로이 목마 바이러스로 다른 악성 소프트웨어에 대해 키로거, 폼 그래버 또는 드롭퍼로 사용할 수 있습니다.
SERVSTART(별칭 Nitol)는 바이너리 실행 가능 또는 동적 링크 라이브러리로 설치되고 서비스로 등록되는 트로이 목마 바이러스입니다. 이 서비스를 통해 원격 사용자가 원격 서버에 연결하고 다른 악성 파일을 다운로드, 실행 또는 설치하고 시스템을 중지 또는 재시작하며 배포된 서비스 활동 거부를 수행할 수 있습니다. 이 악성코드는 TCP 또는 UDP 연결을 통해 통신할 수 있으며 소프트웨어가 하나의 사본만 설치되도록 뮤텍스를 설치합니다. 또한 시스템에서 자체 업데이트 또는 제거될 수 있습니다.

1 지능형 지속적 위협(APT) 공격자는 특정한 국가로부터 지시를 받아 정보를 유출하거나 네트워크 공격을 수행하고, 그들의 목표를 집요하게 추진하고, 다양한 툴과 전술을 사용할 능력이 있다고 평가됩니다.