국제 조직 및 비영리 단체 위협 인텔리전스

국제 기구 및 비영리 단체를 표적으로 하는 사이버 위협

국제 기구 및 비영리 단체는 다음과 같은 위협 범죄자들이 유발하는 사이버 위협에 직면하고 있습니다.
  • 지능형 지속적 위협(APT)1 그룹들은 스파이 활동을 수행하고, 후원하는 정부에게 협상 또는 협약에 대한 이점을 제공하기 위해 국제 기구를 표적으로 삼으려고 합니다. 또한 이 기구를 신뢰할 수 있다는 평판을 이용하여 회원국들을 침해하려고 시도할 수도 있습니다.
  • APT 그룹들은 자국 내에서 운영되고, 논란이 되는 문제들에 중점을 두는 외국 비영리 단체를 표적으로 삼습니다. APT 그룹들은 후원하는 정부가 자국 내에서 활동하는 이러한 단체들을 모니터하는 것을 지원하려고 시도할 가능성이 있습니다.
  • 핵티비스트들은 알려진 논란에 대응하거나, 다른 방법으로 자체적인 견해를 발표하는 단체들을 표적으로 삼습니다. 핵티비스트들은 피해자의 웹사이트에 대한 인터넷 연결을 차단하기 위한 의도로 배포된 서비스 거부 공격을 시작하거나, 웹사이트의 외관을 손상하거나, 또는 피해자를 당황하게 하는 민감한 정보를 유출할 수도 있습니다.
비영리 단체 사이버 위협 인텔리전스
위협 목표 및 산업 전망

국제 기구와 비영리 단체는 APT 그룹들이 유발하는 사이버 위협에 계속 직면할 가능성이 가장 높고, 특히 이러한 그룹들은 국제 기구와 비영리 단체의 의사결정자에게 알려야 할 인텔리전스를 입수하려고 시도합니다. 일부 요인들에는 국제 기구와 비영리 단체에 대한 향후의 위협 활동에 영향을 줄 수 있는 다음과 같은 사항들에 대한 개입이 포함됩니다.

  • 호스트 정부가 국가의 합법성 또는 국내 안정성에 대한 논란이 있거나, 민감하거나, 잠재적인 위협이라고 생각하는 해외 및 이니셔티브에 대한 비영리 조직 운영. 위협 범죄자들은 국제 기구와 비영리 단체의 활동을 감시하려고 시도할 수 있습니다.
  • 전략지정학적이거나 국제적인 관심을 끄는 문제들. 다양한 국가들에서 조직된 APT 그룹은 후원하는 정부의 이익을 위해 이러한 조직들을 표적으로 삼고 스파이 활동을 수행할 가능성이 높습니다.
  • 논란이 되는 문제들 또는 자국과 관련된 논란에 직면. 핵티비스트들은 이러한 조직들이 임무에 실패했거나, 또는 위협 범죄자들이 중요하게 생각하는 주장에 반대하고 있다는 인식이 있는 경우, 이러한 조직들을 표적으로 삼을 수 있습니다. 또한 이러한 조직들을 침해하는 것이 그들의 견해를 밝히는데 도움이 될 것이라고 생각하는 경우, 이러한 기구들을 표적으로 삼을 수 있습니다.

 

저희는 최소한 9개의 지능형 위협 그룹이 다음의 소부문에서 조직들을 침해하는 것을 관찰했습니다.
  • 보조금 재단
  • 국제 기구
  • 시장 여론 조사
  • 비영리 단체
  • 과학 연구 및 개발 서비스
  • 사회 복지 서비스
국제 기구 및 비영리 단체로부터 유출되는 데이터
  • 이벤트 관련 자료
  • 보조금/장학금 문서
  • 내부 통신 및 문서
  • 지속적이고 진행 중인 사례 문서/증언
  • 프로그램 및 이니셔티브
  • 연구 보고서
  • 업무 기술서

사례연구: 중국에 거점을 둔 의심스러운 그룹이 비영리 단체 웹사이트에 침입했습니다.

저희는 웹사이트 방문자를 표적으로 침입 당한 비영리 리서치 조직의 사고를 조사했습니다. 인터넷 사용자가 이 조직의 웹사이트에 방문할 때 브라우저가 어도비 플래시의 제로데이 취약점을 이용하는 악성 웹사이트로 재연결되었습니다. 사용자의 시스템이 취약한 버전의 플래시를 실행 중인 경우, 악성 백도어가 피해자의 컴퓨터에 다운로드되었으며 피해자는 이를 알 수 없었습니다. 조직의 네트워크에는 내부 이동이나 추가 침입이 없었던 점으로 보아 가해자는 조직 자체보다는 조직의 방문자를 표적으로 삼은 것 같습니다.

 

사례연구: APT 그룹은 중국에서 운영되는 외국 NGO를 표적으로 삼습니다.

저희는 중국에서 운영되는 비정부 기구(NGO)에 대한 침입을 조사했습니다. 중국에 기반을 둔 3개의 위협 그룹은 최소한 2010년 5월부터 2013년 5월까지 NGO의 네트워크에서 활동했으나, 침입 활동은 더 이른 2006년부터 시작되었을 가능성이 있습니다. 그들은 최소한 23개의 사용자 계정과 86개의 시스템을 침해했고, 17,000여 개의 파일을 유출했으며, 대부분의 파일들은 주로 중국에서 수행하는 NGO 활동, 또는 이 기구의 본부에 위치한 정보 기술 인프라와 관리 직원들에 대한 것이었습니다. 이러한 위협 그룹들은 NGO의 중국 사무소로부터 거의 모든 파일들을 유출했고, 그 중에는 2010년부터 2013년까지 저장된 거의 모든 직원에 대한 이메일 리포지터리가 포함됩니다. 유출된 데이터 중 일부는 중국 내에서의 풀뿌리 정치 캠페인 같은 특정한 주제와 관련이 있었습니다.


악성코드 크라임웨어가 표적으로 하는 비영리 단체

상위 악성코드군

FireEye는 위협 범죄자들이 다음과 같은 표적 악성코드군을 사용하여 국제 기구 및 비영리 단체의 조직들을 침해하는 것을 가장 자주 탐지했습니다.

Gh0stRAT는 공개적으로 사용 가능한 소스 코드로부터 추출되는 이 원격 접속 툴(RAT)입니다. 이 악성코드는 화면과 오디오 캡처를 수행하고, 웹캠을 활성화하고, 프로세스를 열거 및 차단하고, 명령 셸을 열고, 이벤트 로그를 지우고, 파일을 작성, 조작, 삭제, 시작, 전송할 수 있습니다.
ERACS는 일반적으로 TCP 포트 80을 통해서 IP와 통신하는 HTTP 기반의 백도어입니다. 파일을 업로드 및 다운로드하고 서비스 및 프로세스를 조작하고 리버스 셸을 작성하고 키로거로 작동하고 화면 캡처를 수행하고 호스트 및 사용자 이름 정보 등을 얻을 수 있습니다.
PHOTO는 보통 서비스 형태로 자체적으로 설치되고, 32비트 또는 64비트 DLL로 구현할 수 있는 DLL 백도어입니다. 이 백도어는 키스트로크를 로깅하고 네트워크 트래픽과 레지스트 키를 숨기기 위한 목적으로 다양한 입출력 제어(IOCTL) 장치를 후킹함으로써 루트킷 기능을 사용하여 드라이버를 추출할 수도 있습니다. 이러한 드라이브들은 특정한 운영 체제에서만 사용할 수 있을 수도 있습니다.
BANGAT는 키 로그를 수행하고, 드라이버로 연결하고, C2 서버에 대한 연결을 작성하고, 마우스의 움직임을 캡처하고, 시스템 정보를 수집하고, 프로세스를 작성 및 차단하고, 패스워드를 수집하고, 시스템을 셧다운 및 로그오프하고, 파일을 작성 및 변경하는 능력이 있는 백도어입니다.
POISON IVY는 침해된 시스템에 대해 종합적인 원격 접속 능력을 제공하는 공개적으로 사용 가능한 원격 관리 툴(RAT)입니다. 이것은 온라인에서 사용 가능한 그래픽 Poison Ivy 관리 인터페이스를 사용하여 설정, 구축 및 제어됩니다. 셸코드를 생성하도록 설정할 수 있고, 셸코드는 패키지로 실행 가능 파일에 전달되거나 기존의 실행 가능 파일과 통합되어 이 악성코드의 존재를 숨길 수 있습니다. 보통 다수의 셸코드 스텁을 explorer.exe 프로세스로 주입하도록 설정됩니다.

상위 크라임웨어군

FireEye의 싱크홀과 동적으로 공유하는 위협 데이터는 다음과 같은 국제 조직 및 비영리 단체에 피해를 주는 크라임웨어 변종들이 가장 흔히 탐지되었다는 것을 보여줍니다.

RAMNIT는 파일을 감염시키는 웜으로 FTP와 은행 계좌 인증 정보를 유출하고, 셸 명령을 원격으로 실행하고, 안티바이러스 소프트웨어 탐지를 회피할 수 있습니다.
PALEVO는 정보를 유출하는 웜으로 이동식 드라이브, 네트워크 공유, P2P, 인스턴트 메신저 프로그램으로 전파됩니다. 감염된 컴퓨터는 UDP 포트 53을 통해서 명령 및 제어 통신을 합니다.
ZEUS(별칭 Zbot)는 트로이 목마 바이러스군으로 주로 은행 인증 유출에 참여하도록 설계되었습니다. 이 악성코드는 매우 다양한 기능을 수행할 능력(셸 명령을 원격으로 실행할 능력 포함)이 있습니다.
FLASHBACK는 광범위하게 전파된 봇넷으로 애플의 OSX 운영 체제를 실행하는 시스템들에게 피해를 입힙니다. 이 봇넷은 자체적으로 설치하기 위해 자바의 보안 결함을 이용합니다.
QAKBOT는 다목적 트로이 목마 바이러스로 브라우저 익스플로잇을 통해서 배포되고 다른 악성 소프트웨어에 의해 투하됩니다. Qakbot은 몇 개의 컴포넌트로 구성되어 있고. 모든 감염에서 모든 컴포넌트가 존재하지는 않습니다. 이 바이러스는 네트워크 공유로 전파되고 데이터 유출에 관여할 수 있습니다. 유출된 데이터는 보통 공격자가 접근할 수 있는 FTP 서버로 업로드됩니다.

1 지능형 지속적 위협(APT) 공격자는 특정한 국가로부터 지시를 받아 정보를 유출하거나 네트워크 공격을 수행하고, 그들의 목표를 집요하게 추진하고, 다양한 툴과 전술을 사용할 능력이 있다고 평가됩니다.