범위 참고: 레코디드 퓨처는 티베트 커뮤니티를 노리는 새로운 멀웨어를 분석하여 멀웨어와 관련 인프라에 대해 자세히 분석했습니다. 소스에는 레코디드 퓨처의 플랫폼, 바이러스토탈, 리버싱랩스, 타사 메타데이터는 물론 일반적인 OSINT 및 네트워크 메타데이터 강화 기능인 도메인툴즈 아이리스, 패시브토탈 등이 있습니다. 이 연구는 중국 국가가 국내 위협에 대응하기 위해 사용하는 광범위한 정교한 기술을 조명하는 시리즈의 일부입니다.

Executive Summary

레코디드 퓨처의 인식트 그룹은 티베트 커뮤니티를 겨냥한 중국의 레드알파 캠페인을 발견한 이후, 같은 티베트인 피해자 그룹을 대상으로 배포된 'ext4'라는 새로운 리눅스 백도어를 발견했습니다. 백도어를 분석하여 중국의 엘리트 교육 기관인^칭화1 대학교에 등록된 인프라에서 유출된 동일한 손상된 CentOS 웹 서버에 반복적으로 연결을 시도하는 것을 발견했습니다.

또한 동일한 칭화대학교 인프라에서 알래스카 주 정부, 알래스카 천연자원부, 나이로비 유엔 사무소, 케냐 항만청 등 여러 지정학적 기관을 대상으로 네트워크 정찰 활동이 수행되고 있는 것을 확인했습니다. 또한, 독일 자동차 다국적 기업인 다임러 AG가 미국과 중국 간의 무역 긴장 고조를 이유로 올해 수익 전망을 하향 조정한 지 하루 만에 시작된 표적 조사도 확인했습니다. 이러한 활동은 중국이 해당 국가 또는 단체와 경제 협력을 위해 대화하는 기간에 발생한 경우도 있습니다.

저희가 발견한 네트워크 정찰 활동은 중국의 경제 개발 목표를 지원하기 위해 중국 국가가 후원하는 행위자들이 수행한 것으로 중간 정도의 확신을 가지고 평가합니다.

주요 판단

• 칭화 IP 166.111.8[.]246은 알래스카, 케냐, 브라질, 몽골의 조직을 대상으로 네트워크 정찰을 수행했으며, 중국의 일대일로 이니셔티브(BRI)와 관련된 중국의 해외 인프라 프로젝트 투자에 대한 경제 대화 또는 홍보가 진행되는 시기에 활동했습니다.
• 5월 말 알래스카 주지사의 무역 대표단 중국 방문 이후 알래스카 조직에 대한 네트워크 정찰 활동이 증가했습니다. 정찰 활동의 표적이 된 조직은 석유 및 가스 등 무역 논의의 핵심에 있는 산업에 속해 있었습니다.
• 독일 자동차 다국적 기업인 다임러 AG가 미국과 중국의 무역 긴장이 고조되는 가운데 이익 경고를 발표한 지 하루 만에 표적이 된 것이 관찰되었습니다.
• 칭화 IP는 미국 소재 호텔의 초고속 인터넷 포털에 최소 한 번 이상 가입을 시도했습니다. 이는 취약한 WindWeb 서버를 실행하는 숙박 업계 내 Nomadix 인터넷 게이트웨이를 침해하려는 의도를 보여줄 수 있다고 낮은 신뢰도로 평가합니다.
• 칭화 IP는 고도로 정교한 백도어인 "ext4"로 손상된 티베트 네트워크에 반복적으로 연결을 시도했습니다.
• 'ext4'는 매시간 180초 동안만 손상된 네트워크로 들어오는 TCP 443 연결을 허용했으며, 패킷이 성공적으로 연결되려면 고유한 TCP 헤더 옵션 조합을 요구했습니다. 관찰된 20회 이상의 시도에서 칭화 IP는 백도어를 활성화하기 위한 올바른 TCP 옵션을 전송하지 않았습니다. 이렇게 제안했습니다:
• 칭화 IP에서 접속하는 위협 행위자는 올바른 "ext4" 백도어 연결 순서를 제대로 알지 못해 실수를 저지르고 있었습니다.
• 티베트 네트워크의 표적 공격은 'ext4' 백도어의 존재와 관련이 없으며, 칭화 IP가 수행 중인 광범위한 지정학적, 경제적 네트워크 정찰 활동에 따라 네트워크가 조사되고 있었습니다.

배경

중화인민공화국(PRC)은 티베트에 대한 주권을 주장하며, 모든 티베트 독립 운동을 분리주의적 위협으로 간주합니다. 중화인민공화국(PRC)은 티베트 커뮤니티에 대해 다양한 형태의 강압적 조치를 취해왔지만, 특히 긴장이 고조된 시기에 티베트인을 대상으로 한 사이버 스파이 활동이 자주 사용되는 수단이 되었습니다. 중국이 티베트를 대상으로 한 최초의 사이버 스파이 활동으로 알려진 'GhostNet' 사건은 2008년에 발생했습니다. 이는 국가적 관심 대상인 외국 목표물을 감시하기 위한 더 넓은 범위에서의 시도 중 일부였습니다. 티베트인들을 대상으로 한 사이버 스파이 활동이 다수 기록되었으며, 이는 Recorded Future의 최근 RedAlpha 보고서에서도 언급되었습니다.

칭화 대학교는 베이징의 하이디안 구에 위치해 있습니다. “중국의 MIT”로 불리는 이 대학은 중국 최고의 기술 연구 대학 중 하나입니다. 중국 대학들은 직접적으로나 간접적으로나 중국 정부의 지원을 받는 사이버 능력과 자주 연관되어 왔습니다. 2015년, APT17 인프라가 중국의 동남대학교 소속 교수와 연결되었으며, 2017년에는 인민해방군(PLA) 이 시안 교통대학교와 협력해 사이버 민병대 프로그램을 설립했습니다. 칭화 대학교는 국가 소유의 기관으로, 세계 최고의 연구 및 공학 대학 중 하나입니다. 그 대학의 학생들은 청화대학교와 관련된 개인들로 구성된 보안 연구 팀인 '블루-로터스'를 통해 공격적인 사이버 능력으로 가장 유명합니다. 팀은 DEF CON의 2016년 캡처 더 플래그 대회에서 2위를 차지했습니다.

칭화 대학교의 연구 기관들도 미국 기술 절도 전력이 있는 국가 기관들과 연결되어 있습니다. 칭화대학교 과학연구개발처는 2018년 5월 중국 CITIC 그룹과 중국 공산당 회의 활동과 관련해 회의를 개최했으며, 이 자리에서 기업과 연구기관 간의 전략적 협력을 통해 국가 발전에 기여하는 방안을 논의했습니다. 1999년 미국 국가 안보 및 중국과의 군사/상업적 문제에 관한 특별위원회 (소위 '코克斯 보고서')에서 CITIC는 중국 인민해방군 (PLA)의 비밀 작전과 민감한 미국 기술의 도난과 연관되어 언급되었습니다. 코克斯 보고서는 1990년 CITIC이 인민해방군(PLA)을 대신해 미국 항공기 부품 제조업체를 인수하려는 시도를 언급하며, 이는 미국 수출 통제 대상 항공우주 기술에 접근하기 위한 목적이었다고 밝혔습니다. 또한, CITIC의 전 회장 왕젠은 1996년 폴리 테크놀로지스 사건과 관련하여 해당 회사가 미국으로 2,000정의 중국산 AK-47 소총을 밀반출하려 시도한 혐의로 기소된 사건 에 연루되었습니다.

칭화대학교 정보시스템공학연구소는 중국 국가 863 및 973 프로그램과도 공개적으로 협력 관계를 유지하고 있습니다. 863 프로그램(국가 고기술 개발 계획) 은 중국의 핵심 기술 산업 분야에서 국가적 역량을 강화하는 데 중점을 두고 있으며, 1997년에 처음 설립된 973 프로그램은 핵심 산업 분야에서 기술 우위를 달성하기 위해 필요한 기초 기술을 개발하는 데 초점을 맞추고 있습니다. 두 프로그램 모두 중국이 프로그램 목표를 달성하기 위해 지적 재산을 훔치는 것을 용이하게 하는 효과를 가져왔습니다.

지난 10년간 중국 정부 후원 사이버 위협 행위자들이 주요 전략 산업 분야에서 과학적, 기술적, 경제적 우위를 확보하기 위한 중국의 정책 지침을 직접 반영한 대규모 사이버 스파이 활동을 벌여온 것으로 확인되었습니다. 이 활동은 최근 APT10이 관리형 IT 서비스 제공업체를 대상으로 한 공격과 2017년 인기 소프트웨어 제품 CCleaner를 대상으로 대규모 공급망 공격을 수행한 APT17의 활동에서 가장 최근에 관찰되었습니다.

티베트 시위와 관련된 칭화대 IP 활동의 향후 타임라인을 기록했습니다.

위협 분석

레코디드 퓨처는 티베트 커뮤니티를 표적으로 삼는 공격에 대한 지속적인 연구 중에 'ext4' 백도어의 존재를 발견했습니다. 이 백도어는 CentOS를 실행하는 Linux 웹 서버에서 실행되도록 구성되었으며 시스템 파일에 은밀하게 포함되도록 설계되었습니다. 백도어는 매시간 3분 동안 TCP 포트 443에서 들어오는 연결을 활성화하고 수락하는 시간 외에는 대부분 비활성 상태였습니다.

총계로, Recorded Future의 독특한 모니터링 범위는 2018년 5월부터 6월까지 동일한 해킹당한 CentOS 서버에 대한 23회의 연결 시도를 관찰할 수 있게 해주었습니다. 모든 시도는 동일한 IP 주소인 166.111.8[.]246에서 시작되었으며, 이 주소는 중국 교육 및 연구 네트워크 센터로 확인되었습니다. WHOIS 기록에 따르면 해당 IP 주소는 "Tsinghua University"에 등록된 /16 CIDR 범위 내에 위치해 있습니다.

아래 PCAP에서 볼 수 있듯이 칭화 IP에서 티베트 네트워크에 연결을 시도하는 모든 패킷에서 가능한 최대 세그먼트 크기인 60바이트로 설정된 TCP 헤더의 고유한 옵션이 관찰되었습니다.

칭화 IP에서 손상된 티베트 CentOS 서버로의 연결 시도의 PCAP.

"ext4" 코드는 온라인에서 코드나 이름 유사성에 대한 눈에 띄는 흔적이 없는 고유한 것으로 보입니다. 2018년 8월 3일 현재 주요 멀티스캐너 리포지토리에서 "ext4"의 주요 특징과 유사한 백도어 업로드가 관찰된 것은 저희 제출물 외에 없습니다. VirusTotal에서 0/58의 탐지율을 보인 "ext4" 샘플은 티베트 커뮤니티를 겨냥한 새롭고 독특한 백도어임을 확인했습니다.

"ext4" 바이너리에 대한 자세한 분석은 이 보고서의 기술 분석 섹션에서 확인할 수 있습니다.

칭화대학교 IP 166.111.8[.]246

이 IP는 2018년 3월 23일에 Recorded Future에서 처음 관측되었으며, 여러 IP 정보 강화 소스에 따르면 중국 교육 및 연구 네트워크 센터(CERNET)로 확인되었습니다. CERNET은 중국 6대 주요 백본 네트워크 중 하나이며, 중국 학술 및 연구 기관을 위해 할당된 대규모 IP 주소 공간을 관리하는 종합적인 조직입니다. 앞서 언급된 바와 같이, WHOIS 기록은 해당 IP 주소가 “Tsinghua University”에 등록된 범위 내에 위치함을 확인합니다.

사용 가능한 포트 스캔 데이터에 따르면 해당 IP는 현재 PPTP (TCP 포트 1723), MySQL (3306), MAMP (8888)를 포함한 여러 개의 활성화된 서비스가 실행 중이며, 일반적인 OpenSSH (22), HTTP (80, 8080, 8008), SSL (443, 8443, 9443), VPN IKE (500) 서비스 등이 포함되어 있습니다. HTTP 포트가 NGINX 웹 서버로 구성되어 있는 것으로 보입니다. 이 IP에서 관찰된 활동의 특성을 고려할 때, 역 프록시 또는 로드 밸런서로 사용되고 있을 가능성이 높습니다. 개방된 포트 수가 많고 관련된 서비스가 존재한다는 점은 Tsinghua IP가 인터넷 게이트웨이 또는 VPN 엔드포인트일 가능성이 있음을 나타냅니다.

칭화 IP 166.111.8[.]246에 대한 기록된 미래 인텔리전스 카드™.

Recorded Future의 IP 강화 분석 결과, 해당 IP는 과거에 스캔, 브루트포스 공격, 및 적극적인 악용 시도 등의 공격 대상이 되었음을 보여줍니다. 이 사건은 여러 위험 규칙을トリ거했으며, 대만 타이중시 교육국이 중국 발원 악성 사이버 지표를 추적하는 과정에서 경고 표시를 받았으며, AlienVault 블랙리스트에 등재되었습니다. IP 메타데이터 분석 결과, 해당 IP는 게이트웨이, NAT, 또는 프록시일 가능성이 높으며, 이 활동의 실제 발신 기기는 이 IP 뒤에 위치해 있습니다.

당시 중국 국영 기업과 주요 무역 논의를 진행하던 조직에 대한 대규모 네트워크 정찰도 동일한 IP 주소에서 수행된 것으로 관찰되었습니다. 이러한 정찰 활동은 중국의 전략적, 경제적 이해관계와 광범위하게 일치하기 때문에 우연이 아니라고 생각합니다.

"기회 알래스카"

2018년 4월 6일부터 6월 24일까지 칭화 IP와 알래스카의 여러 네트워크 간에 100만 건이 넘는 IP 연결이 관찰되었습니다:

• 알래스카 커뮤니케이션 시스템 그룹
• 알래스카 천연자원부
• 알래스카 파워 & 전화 회사
• 알래스카 주 정부
• TelAlaska

칭화 IP와 위 조직 간의 방대한 수의 연결은 알래스카 네트워크의 포트 22, 53, 80, 139, 443, 769, 2816의 대량 스캔과 관련이 있으며, 취약점을 확인하고 불법적인 액세스를 얻기 위해 수행되었을 가능성이 높습니다. 스캔 활동은 위의 포트에 대해 조사 대상 조직 전용의 전체 IP 범위를 사용하여 체계적인 방식으로 수행되었습니다.

알래스카 주 정부를 대상으로 한 이 조치는 알래스카가 중국으로 파견한 대규모 무역 사절단 '오퍼튜니티 알래스카' 이후에 이루어졌습니다. 이 무역 사절단은 5월 말에 진행되었으며, 알래스카 주지사인 빌 워커가 이끌었습니다. 이 회담 기간 동안 가장 주목받은 논의 중 하나는 알래스카와 중국 사이의 가스 파이프라인 건설 가능성에 관한 것이었습니다. 중국과 미국의 무역 전쟁에 대한 우려에도 불구하고, 워커 주지사의 사무실은 무역 사절단이 "알래스카가 자랑할 수 있는 최상의 것을 대표하며... 우리 최대 무역 파트너와의 공동 관심사의 광범위한 범위를 강조했습니다"라고 밝혔습니다. 오퍼튜니티 알래스카는 알래스카의 어업, 관광, 건축, 투자 산업 분야의 기업 대표들로 구성되었으며, 베이징, 상하이, 청두를 방문했습니다.

2018년 5월 알래스카 무역 대표단의 중국 방문 기간에 맞춰 칭화 IP가 알래스카 기관을 대상으로 실시한 네트워크 프로빙 이벤트.

레코디드 퓨처가 알래스카 네트워크에 대한 스캔 활동을 처음 관찰한 것은 3월 말, 워커 주지사가 중국에 무역 대표단을 파견한다고 발표한 지 불과 몇 주 후였습니다. 이 활동은 대표단이 2018년 5월 20일에 도착하기 며칠 전부터 시작되었고, 대표단이 도착하자마자 중단되었습니다. 알래스카 네트워크에 대한 조사는 대표단이 활동을 마무리하는 5월 28일까지 낮은 수준을 유지하다가 대표단이 중국을 떠나면서 상당히 증가했습니다. 관련 주제에 대한 무역 논의가 마무리되는 시점에 스캔 활동이 급증한 것은 알래스카 방문에 대한 알래스카의 관점과 방문 후 협상에서 전략적 이점을 얻기 위한 시도였을 가능성이 높다는 것을 시사합니다.

6월 20일부터 6월 24일까지 알래스카 주와 알래스카 자연자원부 네트워크에 대한 관심도가 급증했습니다. 이는 아마도 워커 주지사가 6월 19일 워싱턴 D.C.를 방문해 미국과 중국 정부 관계자들을 만나 두 국가 간 확대되는 무역 분쟁에 대한 우려를 전달할 계획이라고 발표한 데 대한 반응일 가능성이 있습니다.

'일대일로 이니셔티브'와 중국의 경제 목표

또한 연구 과정에서 칭화 IP 스캔 포트를 관찰하고 몽골, 케냐, 브라질의 정부 부처 및 민간 기업 네트워크를 조사했습니다. 이들 국가는 모두 중국 일대일로 이니셔티브의 핵심 투자 대상국입니다.

중국의 일대일로 이니셔티브 (BRI)는 시진핑 주석의 가장 야심찬 프로그램 중 하나입니다. 중국이 세계에 걸쳐 변혁적인 지리정치적 영향력을 투사하기 위해 기획된 이 프로젝트의 규모와 범위는 전례가 없습니다. 베이징은 65개국에 인프라 및 개발 프로젝트에 $4조 달러를 투자하기로 약속했으며, 이는 세계 인구의 70%와 세계 에너지 매장량의 75%에 영향을 미칠 것입니다. 이 계획은 유라시아의 주요 경제 중심지를 육상과 해상을 통해 연결하는 것을 목표로 하며, 이 중 많은 지역은 2천 년 전 고대 실크로드의 주요 노선으로 사용되었습니다.

《더 디플로매트》에 따르면, “일대일로(BRI)는 중국의 서부 변방 지역을 안정화하고, 경제를 활성화하며, 비서구 국제 경제 기관을 강화하며, 다른 국가들에서의 영향력을 확대하고, 무역 공급처 및 경로를 다각화하는 동시에 미국의 아시아 회귀 전략을 우회하는 것을 목표로 하고 있습니다.”

중국의 일대일로(Belt and Road) 이니셔티브. 출처: 메르카토르 중국 연구소, merics.org

BRI는 또한 아프리카에서 중국의 지정학적, 경제적 영향력을 더욱 강화하여 아프리카 전역에 이루어진 막대한 인프라 투자를 활용하는 것을 목표로 합니다. 특히 케냐는 중국의 해상 실크로드 이니셔티브(MSRI)의 해상 기반 구성 요소인 중국의 일대일로 이니셔티브에서 전략적 지리적 이점을 가지고 있어 더욱 주목받고 있습니다.

올해 초 케냐는 BRI(일대일로) 하에서 지역 프로젝트를 추진하기 위해 로비 활동을 벌일 것이라고 발표했습니다. 중국은 이미 케냐의 항구 도시 모잠비크와 수도 나이로비 사이의 480km 철도 건설 을 지원했습니다. 이 철도는 궁극적으로 우간다, 르완다, 부룬디 등 인접 국가로 확장될 예정입니다. 그러나 2018년 5월 케냐는 동아프리카 공동체(EAC) 회원국들과 논의 중이던 중국과의 자유무역협정(FTA) 에 서명하지않겠다고 발표해 베이징과 나이로비 사이의 긴장이 고조되었습니다.

2018년 6월 초, 칭화 IP 주소가 케냐의 모든 항구의 유지 및 운영을 담당하는 국영 기업인 케냐 항만청 전용 포트 22, 53, 80, 389, 443은 물론 다양한 케냐 인터넷 호스팅 제공업체와 통신 회사의 포트 22, 53, 80, 389, 443을 공격적으로 스캔하는 것을 관찰했습니다. 레코디드 퓨처는 또한 나이로비의 유엔 사무소, 케냐의 스트라스모어 대학, 더 광범위한 국가 교육 네트워크를 대상으로 한 네트워크 정찰 활동도 확인했습니다.

아래 차트는 칭화 IP에서 케냐 조직에 대한 네트워크 정찰 활동이 급증한 것을 보여줍니다. 이러한 급등세는 케냐가 중국-EAC 자유무역협정을 지지하지 않겠다고 발표한 지 불과 2주 만에 발생했습니다.

2018년 3월부터 2018년 6월까지 중국-케냐의 주요 경제 발전과 오버레이된 케냐 기관을 대상으로 칭화 IP가 실시한 네트워크 정찰 이벤트.

올해 4월, 시진핑 주석은 브라질을 일대일로(BRI)를 통해 중국이 인프라 투자 대상국으로 선정한 국가 목록에 추가했습니다. 마라냐오 주(州) 북동부 지역에 새로운 $520억 달러 규모의 항만 건설 자금 지원이 발표되었습니다. 이는 2016년 브라질의 다른 주인 아마파 주에서 교육 및 에너지 분야에 대한 중국의 대규모 투자에 이어진 조치입니다.

저희 조사 결과, 베이징에 본사를 둔 중국통신건설유한공사가 마라나우 항구에 공사를 시작한 지 불과 한 달 뒤인 2018년 4월 2일부터 6월 11일 사이에 칭화 IP가 브라질 아마파주 공공부(Ministério Público do Estado Do Amapá)에 접속을 시도한 횟수가 반복적으로 발견된 것으로 나타났습니다.

2018년 4월 6일부터 4월 12일 사이에 몽골의 국가 데이터 센터 건물과 몽골 과학기술대학교와 같은 조직 네트워크에 반복적으로 연결 시도된 것을 관찰했습니다. 몽골은 중국의 일대일로(BRI) 계획에서 중요한 역할을 담당하고 있습니다. 일대일로 계획의 육상 부분인 실크로드 경제벨트(SREB)는새로운 유라시아 육상 교량과 최소 5개의 새로운 경제 회랑 을 제안하고 있으며, 이 중에는 중국-몽골-러시아 회랑이 포함되어 있습니다.

우리는 케냐, 브라질, 몽골의 칭화 IP 프로빙 네트워크에서 관찰된 일관된 정찰 활동이 BRI 경제 개발 목표와 밀접하게 일치하며, 이 IP를 사용하는 위협 행위자가 중국 국가를 대신해 사이버 스파이 활동을 하고 있음을 입증한다고 중간 정도의 확신을 가지고 평가합니다.

기회 알래스카 및 주요 BRI 발표와 연계하여 향후 칭화 IP 활동의 타임라인을 기록했습니다.

미국과 중국의 무역 긴장 고조로 인한 영향

2018년 6월 20일, 독일의 다국적 자동차 기업인 다임러 AG는 미국과 중국 간의 무역 긴장이 고조됨에 따라 수익 전망을 하향 조정한 첫 번째 유명 기업이 되었습니다. 다음 날인 6월 21일에는 특히 다임러 AG로 연결되는 네트워크의 포트 139, 22, 443, 53을 대상으로 한 네트워크 정찰 활동이 관찰되었습니다. 프로브는 동일한 칭화대학교 IP에서 시작되었습니다.

2018년 6월 20일부터 24일까지 139, 22, 443, 53번 포트에서 다임러 AG 네트워크를 프로빙하는 칭화 IP.

미국 매니지드 호텔 네트워크 솔루션 제공업체와의 상호 작용

Tsinghua IP에 대한 Shodan 쿼리가 HTTP 302 응답을 반환했으며, 이는 “snap.safetynetaccess.com”으로 리디렉션되었습니다. 재전송 안내. 매사추세츠주 니덤에 본사를 두고 있는 Safety NetAccess는 호텔, 리조트 및 기타 공공 시설을 위한 무선 네트워크를 구축합니다. 주요 고객사로는 힐튼, 마리엇, 소네스타, 윈덤 호텔 체인이 포함됩니다. 안전망 액세스(Safety NetAccess) 웹사이트에 따르면, SNAP은 해당 기업의 "고급 백엔드 소프트웨어 프로그램"으로, 안전망 액세스의 에이전트들이 "어떤 위치에 있는 관리 중인 장비에 대한 직접적인 액세스 권한"을 제공합니다. 재지정 알림 내의 필드들이 이해하기 어려워 보일 수 있지만, 이는 Nomadix 인터넷 게이트웨이(Safety NetAccess의 주요 게이트웨이 및 라우팅 장비 공급업체)의 포털 페이지 매개변수와 일치합니다.

쇼단 쿼리를 통해 칭화 IP 166.111.8[.]246이 세이프티 넷액세스 포털에 '구독'한 것으로 나타났습니다.

위의 HTTP 헤더 응답(위)은 원래 "가입자"(SIP)인 칭화 IP 166.111.8[.]246이 Cox Communications IP 98.180.88[.]145를 요청했음을 보여 줍니다. Cox Communications IP로 이동하면 플로리다주 오캘라에 위치한 홀리데이 인 호텔의 세이프티 넷액세스 게스트 인터넷 포털로 리디렉션됩니다.

안전망플로리다 오캘라에 있는 홀리데이 인의 포털 로그인.

HTTP 응답의 "Location" 필드에 있는 URL을 분해하면 Tsinghua 장치의 MAC 주소(00:13:5F:07:87:D9)와 Nomadix 장치의 IP 주소(68.105.161[.]74)를 얻을 수 있습니다. URL에 UIP로 표시됩니다. UIP는 플로리다 주 오칼라에 위치한 Cox Communications로 연결됩니다. 오픈소스 연구 결과에 따르면 이 UIP를 호스팅하는 장치는 AG 3100 Nomadix 랙 마운트형 인터넷 게이트웨이로, 매직 IP를 사용하여 DNS 및 HTTP 리디렉션을 지원합니다. 이 UIP는 포트 443에서 취약한 WindWeb 서버를 실행 중인 것으로 보입니다. Shodan 분석 결과, 인터넷 게이트웨이에 대한 FTP 로그인 시도 실패 및 Telnet 이벤트가 확인되었습니다.

저희는 제한된 데이터로 볼 때, 칭화 IP가 플로리다의 홀리데이 인 호텔에 대해 Safety NetAccess의 SNAP 포털이 지원하는 원격 관리 액세스 제어를 활용하려고 시도한 것으로 낮은 신뢰도로 평가합니다.

"ext4" 백도어는 칭화 IP와 관련이 있나요?

티베트 디바이스에서 "ext4" 백도어를 발견함으로써 칭화대학교 IP에서 디바이스가 더 광범위하게 표적으로 삼고 있다는 사실을 확인할 수 있었습니다. 그러나 칭화 IP에서 티베트 디바이스로의 연결 시도가 백도어 활성화로 이어지지 않았기 때문에 광범위한 네트워크 정찰 활동의 배후에 있는 위협 행위자가 'ext4' 백도어도 사용했는지 여부는 불분명합니다.

따라서 칭화 IP를 사용하는 티베트 네트워크에 'ext4' 백도어가 관여한 두 가지 시나리오가 남습니다:

• 위협 행위자가 "ext4" 백도어에 액세스하기 위해 칭화 IP를 사용하고 있지만 기술적 결함 또는 운영자 오류로 인해 백도어와의 통신 설정에 필요한 TCP 연결 패킷이 잘못 구성되고 있습니다.
• 칭화 IP는 전략적 경제 및 국가 이익을 대상으로 한 네트워크 정찰 및 사이버 스파이 활동을 광범위하게 수행되고 있습니다. 이는 단순히 BRI(일대일로)를 통해 협력 중인 국가들을 대상으로 하는 것이 아니라, 'Five Poisons ^2' 조직과 같은 단체, 예를 들어 티베트 네트워크 등을 대상으로도 진행되고 있습니다. 따라서 "ext4" 백도어는 이 보고서에서 앞서 언급된 조직을 대상으로 한 네트워크 스캔 활동에 관여하지 않은 다른 위협 행위자에게 속할 가능성이 높습니다.

기술 분석

"ext4" 백도어

"ext4" 백도어 주요 특징

"ext4"는 칭화 IP 정찰 활동이 관찰된 시기(2018년 5월~6월)에 피해 네트워크에 존재했던 새로운 Linux 백도어입니다. 이 기간 동안 칭화 IP에서 TCP 443을 통해 피해 기기에 접속을 시도한 횟수는 총 23회였습니다.

“ext4” 백도어가 티베트 커뮤니티와 관련된 해킹당한 CentOS 웹 서버의 합법적인 시스템“cron”파일 내에서 실행 중인 것으로 확인되었습니다. 수정된 시스템 파일 분석 결과, "0anacron" "cron" 파일이 수정되어 침해된 서버의 /usr/bin/ext4 디렉토리에 위치한 "ext4"라는 비표준 바이너리를 실행하도록 변경된 것으로 확인되었습니다. 이 바이너리는 시간마다 실행되도록 구성되었으며, 흥미롭게도 배경 프로세스로 실행됩니다. 이 설정은 Linux 터미널의 표준 출력에 표시되는 모든 출력을 억제하여 웹 서버 관리자가 이를 탐지하기 어렵게 만듭니다.

수정된 etc/cron.hourly/0anacron 스크립트에 "ext4" 백도어 기능을 포함하도록 설정합니다.

“ext4” 바이너리는 9,511 바이트로 상대적으로 작았으며 간단한 기능들로 구성되어 있었습니다. 이 라이브러리는 Unix 시스템에 존재하는 libpcap 라이브러리와 동적으로 연결되어 있으며, 이 라이브러리는 "네트워크 스니퍼"에서 일반적으로 사용되는 패킷(pcap 파일)을 캡처하기 위해 사용됩니다.

백도어의 작동을 주도하는 세 가지 주요 함수가 있습니다: "main", "process", "my_pcap_handler". 이러한 모든 기능은 백도어의 주요 기능을 수행하기 위해 함께 작동합니다.

주요 기능

주요 기능은 세 가지 핵심 작업, 즉 "tmp/0baaf161db39" 파일을 제거하고, 백도어 기능을 실행하는 하위 프로세스를 만들고, 절전 타이머를 180초로 설정하는 작업을 수행했습니다. 절전 타이머 제한에 도달하면 프로세스가 종료됩니다.

또한 주 함수는 명령줄 인수를 확인하여 손상된 네트워크에서 모니터링할 네트워크 인터페이스를 결정합니다. 기본적으로 "ext4"는 "eth0"을 사용했습니다.

프로세스 기능

프로세스 함수의 주된 목적은 네트워크 트래픽을 캡처하기 위한 핸들을 만드는 것이었으며, 이는 "pcap_open_live"라는 libpcap 함수를 사용하여 수행되었습니다.

핸들이 생성되면 또 다른 libpcap 함수인 "pcap_loop"가 실행되어 "pcap_open_live"에 지정된 인터페이스로 전송된 모든 패킷을 처리하고 "my_packet_handler" 함수로 전송하여 전송된 패킷 유형에 따라 파싱하고 작업을 수행합니다.

"my_packet_handler" 함수

지정된 네트워크 인터페이스로 전송된 모든 패킷은 "my_packet_handler" 함수에 의해 수신됩니다. 그런 다음 핸들러는 이더넷, IP, TCP^헤더3를 구문 분석하여 처리할 패킷인지 확인하기 위해 일련의 검사를 수행합니다. 유효성이 확인되면 이 함수는 페이로드를 디코딩하며, 일반적으로 손상된 CentOS 호스트의 bash 셸에 전달되는 명령입니다.

아래 단계는 함수가 올바른 패킷을 처리했는지 확인하기 위해 사용한 구문 분석 및 유효성 검사 기준을 보여줍니다. 함수가 예상치 못한 결과를 수신하는 경우, 해당 패킷은 함수에서 삭제되고 다음 패킷이 처리됩니다.

• 이더넷 헤더를 확인하여 유형이 IP(유형 2048)인지 확인합니다.
• IP 헤더 길이는 IP 헤더에서 구문 분석됩니다.
• IP 헤더를 구문 분석하여 프로토콜이 TCP(유형 6)인지 확인합니다.
• TCP 헤더를 구문 분석하여 대상 포트가 443인지 확인합니다.
• 데이터 오프셋 또는 페이로드의 시작을 찾습니다.
• TCP 플래그가 322와 같은지, 즉 다음 플래그가 설정되어 있는지 확인합니다: NS(Nonce Sum), ECE(ECN-Echo), SYN.

SYN 및 ECE와 NS 플래그가 설정되어 있는지 확인하므로 플래그의 분석이 중요합니다. NS 플래그는 TCP 발신자가 실수로 또는 악의적으로 표시된 패킷을 숨기는 것을 방지하는 데 사용됩니다.

ECE 플래그는 TCP 상대방이 명시적 혼잡 통지(ECN)와 호환되는지 여부를 표시하는 역할을 합니다. ECN은 TCP의 선택적 확장 기능으로, 네트워크 과부하로 인해 패킷이 손실되는 것을 방지합니다. ECN 기능을 지원하는 라우터가 있는 대규모 기업에서는 ECN의 사용이 일반적일 수 있지만, NS 비트 사용은 실험적 단계에 있으며 현재까지 어떤 TCP 구현에서도 공식적으로 사용되지 않고 있습니다.

패킷이 모든 기준을 통과하면 이 함수는 페이로드의 길이를 가져와 5바이트에서 1024바이트 사이인지 확인합니다. 그런 다음 메모리를 할당하고 페이로드를 메모리에 저장합니다.

페이로드는 XOR 인코딩되며, 페이로드의 첫 바이트는 XOR 키입니다. 이 함수는 페이로드의 첫 바이트를 사용하여 다음 5바이트를 디코딩하고 "anti:" 문자열과 동일한지 확인합니다.

디코딩된 바이트가 "anti:"와 같으면 나머지 페이로드가 디코딩되어 마지막 인수로 전달되어 execl 호출을 사용하여 bash 명령을 실행합니다.

전망

중국은 "5대 독"으로 요약되는 국내 안정에 대한 위협을 모니터링하고 추적하기 위해 사이버 작전을 계속 사용하고 있습니다. 보안 연구원들은 국내 위협에 집중함으로써 박해받는 커뮤니티를 대상으로 공격적으로 사용되는 새로운 캠페인과 도구를 식별할 수 있습니다. "ext4"는 위협 행위자가 손상된 디바이스에 액세스하여 추가적인 악의적인 활동을 수행할 수 있도록 설계된 정교한 경량 Linux 백도어입니다. 이는 또한 중국 민족국가 행위자들이 티베트 커뮤니티를 표적으로 삼기 위해 사용하는 도구의 한 예이기도 합니다.

또한, 운영 시스템에서 패치가 적용되지 않고 사용되는 CentOS 서버가 광범위하게 사용되고 있다는 점은 잠재적인 공격 표면의 폭이 넓다는 점을 강조합니다.

중국의 일대일로 이니셔티브와 아프리카 인프라에 대한 장기적 투자는 이 정책의 대상이 된 국가들에서 중국이 막대한 영향력을 행사할 수 있게 했습니다. 우리는 중등도의 신뢰도로 평가합니다. 칭화대학교 인프라에서 발원해 케냐, 몽골, 브라질의 경제적 이익을 표적으로 삼은 광범위한 네트워크 정찰 활동이 국가 차원에서 지시된 것으로 판단됩니다.

중국은 국가 경제 이익을 지원하기 위해 반복적으로 사이버 스파이 활동을 수행해 왔습니다. 2017년 11월, 법무부는 경제 사이버 스파이 활동으로 유죄 판결을 받은 중국인 해커 3명을 기소했습니다. 또한, 미국 국가반간첩 및 보안 센터(National Counterintelligence and Security Center)는 최근 발표한 '사이버 공간에서의 외국 경제 간첩 활동' 보고서에서 중국 출신 위협 행위자 APT10, KeyBoy, 및 Temp.Periscope가 전략적 국가 및 경제적 이익을 위해 광범위한 사이버 간첩 활동을 수행했다고 강조했습니다.

티베트 커뮤니티를 표적으로 삼는 'ext4' 백도어를 발견한 것 외에는 이 보고서에서 문서화된 조직에서 멀웨어의 존재를 확인하지 못했는데, 이는 대부분의 분석이 타사 메타데이터를 기반으로 이루어졌기 때문입니다. 그러나 중국과 알래스카, 케냐, 브라질, 몽골의 양자 간 무역 및 전략적 대화 기간 동안 네트워크에 대한 표적 스캔 및 조사 활동은 중국 국가의 지시를 받은 위협 행위자(또는 동일한 칭화 엔드포인트에 액세스하는 여러 위협 행위자)가 수행한 것으로 중간 수준의 확신을 가지고 평가합니다.

네트워크 방어 권장 사항

레코디드 퓨처는 이 보고서에 자세히 설명된 중국 위협 행위자의 적대적인 네트워크 정찰과 잠재적인 CentOS 백도어 배포를 방어할 때 조직이 다음과 같은 조치를 취할 것을 권장합니다:

• 침입 탐지 시스템(IDS) 및 침입 방지 시스템(IPS)을 구성하여 칭화대학교 IP 166.111.8[.]246의 연결 시도를 경고하고 차단하세요.
• "ext4" 백도어에 대해 제공된 Yara 규칙을 사용하여 네트워크의 모든 Linux 호스트에서 백도어의 존재 여부를 검사합니다.
• 해당되는 경우, 조직에서 사용하는 엔드포인트 보호 어플라이언스에 "ext4" Yara 규칙이 배포되어 있는지 확인하세요. Linux 호스트에서 "/usr/bin/ext4" 및 "/tmp/0baaf161db39" 파일이 있는지 검색합니다.

또한 다음과 같은 일반적인 정보 보안 모범 사례 가이드라인을 따를 것을 권장합니다:

• 모든 소프트웨어와 애플리케이션, 특히 운영 체제, 바이러스 백신 소프트웨어, 핵심 시스템 유틸리티를 최신 상태로 유지하세요.
• 이메일 서신을 필터링하고 첨부 파일에 멀웨어가 있는지 면밀히 조사하세요.
• 시스템을 정기적으로 백업하고 네트워크를 통해 데이터에 액세스할 수 없도록 가급적 오프라인, 즉 외부에 백업을 저장하세요.
• 면밀한 사고 대응 및 커뮤니케이션 계획을 세우세요.
• 회사에 민감한 데이터의 엄격한 구분을 준수하세요. 특히 직원 계정이나 디바이스에 액세스할 수 있는 사람이 피싱을 통해 디바이스나 계정을 탈취하는 등 어떤 데이터에 액세스할 수 있는지 살펴보세요. 역할 기반 액세스, 회사 전체의 데이터 액세스 제한, 민감한 데이터에 대한 액세스 제한을 강력히 고려하세요.
• 호스트 기반 제어 사용 - 공격을 차단하기 위한 최선의 방어 및 경고 신호 중 하나는 클라이언트 기반 호스트 로깅 및 침입 탐지 기능을 수행하는 것입니다.
• 네트워크 IDS, 넷플로우 수집, 호스트 로깅, 웹 프록시와 같은 기본적인 사고 대응 및 탐지 배포와 제어를 구현하고 탐지 소스에 대한 인적 모니터링도 함께 수행하세요.
• 파트너 또는 공급망 보안 표준을 숙지하세요. 에코시스템 파트너를 위한 보안 표준을 모니터링하고 시행하는 것은 모든 조직의 보안 태세에서 중요한 부분입니다.

이 분석의 PDF 버전 부록을 참조하시면 관련 침해 지표의 전체 목록을 확인할 수 있습니다.

^{1싱화대학교는}로마자로 칭화대학교라고도 합니다.

²'오독'은위구르족, 티베트인, 파룬궁, 중국 민주화 운동, 대만 독립 운동 등 중국 공산당이 체제 안정에 위협이 된다고 여기는 요소입니다.

³참고로 부록 A에 이더넷, IP 및 TCP 헤더의 오프셋을 보여주는 표를 제공했습니다. 이 함수가 헤더를 구문 분석하는 방법을 따르는 데 사용할 수 있습니다.