하이테크 및 IT 위협 인텔리전스

하이테크 및 IT 산업을 표적으로 하는 사이버 위협

하이테크 및 정보 기술 산업(IT)에 속한 조직들은 다음과 같은 위협 범죄자들이 유발하는 사이버 위협에 직면하고 있습니다.
  • 지능형 지속적 위협(APT)1 그룹들은 연구개발 비용을 절감하거나, 다른 방법으로 경쟁 우위를 제공하는 것을 통해서 국내 회사들의 발전을 지원하기 위해 경제 및 기술 정보를 유출하려고 시도합니다.
  • 파괴적인 동기를 가진 핵티비스트와 다른 위협 범죄자들은 그들의 주장에 대한 관심를 끌기 위해 인터넷 서비스 제공자들을 표적으로 삼을 수도 있습니다.
  • 기업화된 사이버 범죄자들은 금전적 이익을 얻기 위해 사용할 수 있는 고객의 계정과 재정 데이터(예: 인증, 지불 정보) 또는 개인 신원 확인 가능 정보의 유출을 목표로 합니다.
하이테크 사이버 위협
위협 목표 및 산업 전망

하이테크 및 IT 부문은 경제, 인텔리전스 및 보안 문제점과 관련이 있으므로, 다양한 위협 범죄자들의 표적이 될 가능성이 있습니다.

저희는 다음과 같은 요인들이 이 부문이 직면하고 있는 위협 활동의 원인이 될 수 있다고 예상합니다.

  • 신기술이 개발됨에 따라 국내 산업에 속한 회사들에게 신속하게 경쟁 우위를 제공할 능력이 있는 지적 재산과 독점 정보를 표적으로 삼을 가능성이 가장 높으므로, 이 산업에 대한 표적 활동이 더욱 강화될 것입니다.
  • 정부 또는 군사 조직과 제휴하는 것도 외국 국가가 후원하는 공격자들이 네트워크 보안에 대한 인텔리전스를 수집하기 위해 이러한 회사들을 표적으로 삼고, 차후의 데이터 유출을 가능하게 하거나, 연구개발에 접근하거나, 군사 기술을 잘 이해하거나, 또는 충돌이 발생하는 경우, 적대국의 능력을 교란하려고 시도할 것이므로, 회사들을 위험에 처하게 할 가능성이 있기 때문입니다.
  • 또한 금전적인 동기가 있는 사이버 범죄자들은 자신의 이익을 금전화할 수 있는 정보를 입수하려고 시도하므로, 고객의 계정과 지불 정보/재정 데이터에 대한 접근이나 개인 신원 확인 가능 정보와 같은 다른 민감한 정보도 이 부문에 대한 위협 활동의 증가를 유도할 수 있습니다.
  • 그리고 노동, 환경, 감시 또는 다른 문제들과 같은 알려진 논란들에 개입함으로써 그러한 문제들에 대한 주의를 환기하고, 책임이 있다고 생각하는 조직들을 당황하게 하려고 시도하는 핵티비스트들이 유발하는 위협 활동의 증가를 초래할 수도 있습니다.

 

저희는 최소한 20개의 지능형 위협 그룹이 다음의 소부문에서 조직들을 침해하는 것을 관찰했습니다.
  • 컴퓨터 소프트웨어
  • 정보 기술 서비스
  • 제어, 전자 의료, 측정 및 네비게이션 기기 제조
  • 소비자 전자 제품 및 개인용 컴퓨터 제조
  • 전자 부품
  • 제조 및 도매업체
  • 논리 소자 제조
  • 네트워크 접근 및 통신
  • 장치 제조
  • 네트워크 및 연결 소프트웨어
  • 라우팅 및 스위칭 장비 제조
  • 검색, 탐지, 네비게이션 및 유도 시스템 제조
  • 보안 소프트웨어
  • 반도체 장비 제조
  • 스토리지 및 시스템 관리
  • 소프트웨어
하이테크 및 IT 부문 고객들로부터 유출되는 데이터
  • 청사진
  • 독점 제품 및 서비스 정보
  • 테스트 결과 및 보고서
  • 생산 공정
  • 하드웨어와 소프트웨어에 대한 설명 및 설정
  • 보안 및 위험 관리 문서
  • 도표 및 사용 설명서
  • 마케팅 전략 및 계획

사례연구: 두 개의 APT 그룹들이 하이테크 회사를 침해했습니다

저희는 두 개의 중국 기반 APT 그룹들이 소비자의 하이테크 생산자와 군사 등급 기술을 침해한 사례를 조사했습니다. 이 그룹들은 회사 환경에서 3년 이상 활동했습니다. 한 그룹 또는 두 그룹 모두 거의 매일 정찰을 수행하고 데이터를 유출하고 당시 비공개 R&D이었지만 그 시점부터 소비자들에게 판매되기 시작한 소비자 제품과 관련된 독점 파일을 유출했으며, 회사가 생산하는 특정 군사 등급 제품에 대한 정보를 구체적으로 검색했습니다. 이 그룹들은 네트워크를 통해 중요한 사용자와 시스템을 조종하고 정보를 유출할 수 있는 여러 도구를 배치하고 화면 및 키스트로크를 기록하고 이메일을 유출했습니다. 두 그룹은 총 100GB가 넘는 데이터를 유출했습니다.


하이테크 산업을 표적으로 하는 사이버 위협

상위 악성코드 탐지

FireEye는 위협 범죄자들이 다음과 같은 표적 악성코드군을 사용하여 하이테크 및 IT 산업의 조직들을 침해하는 것을 가장 자주 탐지했습니다.

Gh0stRAT는 공개적으로 사용 가능한 소스 코드로부터 추출되는 원격 접속 툴(RAT)입니다. 화면과 오디오 캡처를 수행하고, 웹캠을 활성화하고, 프로세스를 열거 및 차단하고, 명령 셸을 열고, 이벤트 로그를 지우고, 파일을 작성, 조작, 삭제, 시작, 전송할 수 있습니다.
TAIDOOR는 파일 전송 및 명령 실행 기능이 있는 백도어입니다. HTTP에서 통신하며 이 통신은 피해 시스템의 MAC 주소 문자열을 키로 사용하여 RC4 암호화됩니다.
PoisonIvy는 침해된 시스템에 대해 종합적인 원격 접속 능력을 제공하는 공개적으로 사용 가능한 원격 관리 툴(RAT)입니다. 온라인에서 사용 가능한 그래픽 관리 인터페이스를 사용하여 설정, 구축 및 제어됩니다. 셸코드를 생성하도록 설정할 수 있고, 셸코드는 패키지로 실행 가능 파일에 전달되거나 기존의 실행 가능 파일과 통합되어 이 악성코드의 존재를 숨길 수 있습니다. 보통 다수의 셸코드 스텁을 explorer.exe 프로세스로 주입하도록 설정됩니다.
SUNBLADE는 원격 코드 실행 및 인증 유출 기능이 있는 백도어입니다. 두 가지 변종이 있는데, 한 가지 변종에는 안티샌드박스 및 안티가상화 기능이 있습니다. 이 백도어는 압축이 자체 해제되는 RAR 또는 ZIP 파일 형태로 전달되며 미끼 문서를 포함할 수도 있습니다.
SOGU(별칭 Kaba, PlugX)는 파일 업로드 및 다운로드, 임의 프로세스 실행, 파일 시스템과 레지스트리 접근, 서비스 설정 접근, 원격 셸 접근을 수행할 능력이 있고, 맞춤형 VNC/RDP 같은 프로토콜을 구현하여 명령 및 제어(C2) 서버에게 데스크탑에 대한 그래픽 접근을 제공하는 백도어입니다.

상위 크라임웨어 탐지

FireEye의 싱크홀과 동적으로 공유하는 위협 데이터는 다음과 같은 크라임웨어 변종들이 하이테크 및 IT 산업에서 가장 흔히 탐지되었다는 것을 보여줍니다.

Conficker는 이동식 드라이브와 네트워크 공유의 취약점을 이용하여 전파되는 웜입니다. 이 웜은 보안 설정을 비활성화하고, 백업 파일을 삭제하고, 시스템 복원 지점을 재설정하는 능력이 있습니다.
Sality는 안티바이러스 소프트웨어가 기능을 수행하는 것을 방지하고, 스팸을 보내고, 추가 악성 소프트웨어를 다운로드하고, 정보 유출에 관여할 수 있는 파일을 감염시키는 트로이 목마 바이러스입니다.
Upatre는 종종 스팸 이메일, 드라이브바이 다운로드 또는 익스플로잇을 통해 침입하는 트로이 목마 바이러스 다운로더이며, Upatre는 감염된 시스템에 하나 이상의 추가 악성코드를 다운로드합니다. Upatre는 Zbot, Dyre, Rovnix, CryptoLocker 및 Necurs를 포함하여 매우 다양한 악성코드를 배포하는 것으로 관찰되었습니다.
Obitel은 지침을 받고 추가 악성 실행 파일을 다운로드하기 위해 하드코딩된 명령 및 통제 도메인 목록을 전달하는 트로이 목마 바이러스 다운로더입니다.
Andromeda(별칭 Gamarue)는 다른 악성 소프트웨어에 대해 키로거, 폼 그래버 또는 드롭퍼로 사용할 수 있는 다목적 트로이 목마 바이러스입니다.

 

1 지능형 지속적 위협(APT) 공격자는 특정한 국가로부터 지시를 받아 정보를 유출하거나 네트워크 공격을 수행하고, 그들의 목표를 집요하게 추진하고, 다양한 툴과 전술을 사용할 능력이 있다고 평가됩니다.