기록된 미래 연구, 중국 국가안보부가 APT3의 배후에 있다고 결론 내림

기록된 미래 연구, 중국 국가안보부가 APT3의 배후에 있다고 결론 내림

insikt-group-logo-alt.png

연구자들이 높은 신뢰도를 가진 위협 행위자 그룹을 국가안보부에 귀속시킬 수 있었던 것은 이번이 처음입니다.

Key Takeaways

소개

5월 9일,'intrusiontruth'라는이름을 사용하는 신비로운 단체가 중국 국가안전부(MSS)의 계약업체를 APT3 사이버 침입 사건의 배후 단체로 지목했습니다.

chinese-mss-behind-apt3-1.png

APT3 피해자의 향후 타임라인을 기록했습니다.

chinese-mss-behind-apt3-2.png

"APT3의 침입 진실"의 블로그 게시물 스크린샷.

“Intrusiontruth”는 APT3 도구인 Pirpi가 사용한 도메인과 중국 정보 보안 회사인 광저우 보유 정보 기술 주식회사(광저우 보유 정보 기술 주식회사, Ltd.로도 알려져 있으며, Boyusec로도 알려져 있음)의 두 주주 사이의 역사적 연결 관계를 기록했습니다.

chinese-mss-behind-apt3-3.png

멀웨어 Pirpi에 연결된 도메인에 대한 등록 정보입니다. 세부 정보에 따르면 도메인은 동하오와 보이유섹에 등록되어 있습니다.

APT3는 전통적으로 광범위한 기업과 기술을 표적으로 삼았으며, MSS를 대신하여 정보 수집 요구 사항을 충족할 가능성이 높습니다(아래 연구 참조). 레코디드 퓨처는 APT3를 면밀히 추적해 왔으며 이 그룹이 수행한 침입 활동의 책임이 MSS에 있음을 입증하는 추가 정보를 발견했습니다.

chinese-mss-behind-apt3-4.png

APT3에 대한 미래 인텔리전스 카드™ 기록.

배경

APT3(UPS, 고틱 판다, TG-011로도 알려져 있음)는 2010년부터 활동해 온 고도로 정교한 위협 그룹입니다. APT3는 스피어 피싱 공격, 제로데이 취약점 악용, 그리고 다양한 독특하고 공개적으로 이용 가능한 원격 액세스 도구(RAT)를 포함한 광범위한 도구와 기술을 활용합니다. APT3 침해 공격의 피해자에는 방위, 통신, 교통, 첨단 기술 분야 기업들이 포함되며, 홍콩, 미국 및 기타 여러 국가의 정부 부처와 기관도 포함됩니다.

분석

보유섹(Boyusec)의 웹사이트에서 해당 기업은 협력 파트너로 두 개의 조직을 명시적으로 밝히고 있습니다. 이 두 조직은 화웨이 테크놀로지스(Huawei Technologies )와 광둥 정보기술 보안 평가 센터( Guangdong Information Technology Security Evaluation Center, 또는 Guangdong ITSEC)입니다.

chinese-mss-behind-apt3-5.png

보유섹(Boyusec) 웹사이트의 스크린샷에서 화웨이(Huawei)와 광둥 ITSEC가
협업 파트너로 표시된 화면 캡처.

2016년 11월, 워싱턴 프리 비컨은 국방부 내부 정보 보고서가 보이유섹과 화웨이가 공동으로 생산 중인 제품을 공개했다고 보도했습니다. 펜타곤의 보고서에 따르면, 두 회사는 중국 정보기관이 "데이터를 수집하고 컴퓨터 및 통신 장비를 제어할 수 있도록" 하는 보안 제품을 공동으로 개발하고 있었으며, 이 제품에는 백도어가 포함되어 있을 가능성이 높습니다. 기사에서는 정부 관계자와 분석가들이 보이유섹과 국가안전부(MSS)가 "밀접하게 연결되어 있다"고 밝혔으며, 보이유섹이 MSS의 위장 회사로 보인다고 언급했습니다.

chinese-mss-behind-apt3-6.png

이미지 ©2017 디지털글로브, 지도 데이터 ©2017

보이유섹은 중국 광저우의 화푸 스퀘어 웨스트 타워 1103호에 위치해 있습니다.

보이유섹의 또 다른 '협력 파트너'인 광동 ITSEC과의 협업은 잘 알려지지 않았습니다. 아래에서 설명하겠지만, 레코디드 퓨처의 조사 결과, 광동 ITSEC은 중국 정보기술평가센터(CNITSEC)라는 중국 국가정보화부 산하 조직이며 보이유섹은 2014년부터 광동 ITSEC과 공동 활성 방어 연구소를 운영해 왔다는 결론을 내렸습니다.

광둥 ITSEC는 CNITSEC가 인증하고 관리하는 전국적인 보안 평가 센터 네트워크의 일원입니다. 중국 국영 매체에 따르면, 광둥 ITSEC는 2011년 5월에 CNITSEC의 전국 16번째 지점으로 지정되었습니다. 광둥 ITSEC의 웹사이트 헤더에도 자신들을 CNITSEC의 광둥 사무소로 표시하고 있습니다.

중국에서 발표된 학술 연구 및 《사이버 보안: 디지털 영역에서의 간첩 활동, 전략, 및 정치》에 따르면, CNITSEC는 국가안전부(MSS)에 의해 운영되며, 해당 정보 기관의 기술적 사이버 전문 지식의 대부분을 보유하고 있습니다. CNITSEC는 MSS에 의해 "취약점 테스트 및 소프트웨어 신뢰성 평가를 수행하기 위해" 사용됩니다. 2009년 미국 국무부 전보에 따르면, 중국은 CNITSEC의 활동에서 파생된 취약점을 정보 작전에 활용할 수 있다는 추정이 있습니다. CNITSEC의 원장인 우 시종(Wu Shizhong)은 자신의 직책으로 MSS를 포함해 스스로를 MSS로 밝히고 있으며, 이는 2016년 1월까지 중국 국가정보보안표준위원회 부위원장으로서의 업무에도 적용됩니다.

레코디드 퓨처의 조사 결과, 일자리를 구할 수 있는 중국어 구인 사이트(jobs.zhaopin.com)에서 여러 구인 광고를 확인할 수 있었습니다, jobui.com, 보유섹은 2014년에 광동 ITSEC과 공동으로 설립한 공동 능동형 방어 연구소(이하 ADUL)를 공개하며, 2015년부터 칸쥔닷컴을 운영하고 있습니다. 보이유섹은 위험 기반 보안 기술을 개발하고 사용자에게 혁신적인 네트워크 방어 기능을 제공하는 것이 공동 연구소의 사명이라고 밝혔습니다.

chinese-mss-behind-apt3-7.png

보이유섹이 광동 ITSEC과의 공동 연구소를 소개하는 채용 공고입니다. 번역된 문구는 "2014년 광저우 보위 정보 기술 회사와 광둥 ITSEC는 긴밀히 협력하여 공동 능동 방어 연구소(ADUL)를 설립했습니다."입니다.

결론

APT3의 생명 주기는 MSS가 인간과 사이버 영역에서 작전을 수행하는 방식을 상징적으로 보여줍니다. 중국 정보 전문가들에 따르면, MSS는 국가, 지방, 지역 단위의 요소로 구성되어 있습니다. 이 중 많은 요소, 특히 지방 및 지역 수준에서는 MSS 정보 작전을 은폐하기 위한 명분을 제공하는 유효한 공공 임무를 가진 조직들이 포함되어 있습니다. 이 중 일부 조직에는 CICIR와 같은 싱크탱크가 포함되며, 다른 조직에는 지방 정부와 지역 사무소가 포함됩니다.

APT3와 보이유섹의 경우, 이 MSS 운영 개념은 사이버 활동과 라이프사이클을 이해하는 모델로 활용되고 있습니다:

chinese-mss-behind-apt3-8.jpg

MSS와 APT3의 관계를 보여주는 그래픽.

영향

그 의미는 명확하고 광범위합니다. Recorded Future의 연구 결과는 APT3를 중국 국가안전부(MSS)와 Boyusec에 높은 신뢰도로 귀속시킬 수 있음을 보여줍니다. 보유세크는 악성 기술을 개발하고 중국 정보 기관과 협력해 온 기록이 있습니다.

APT3는 MSS에 직접적으로 높은 신뢰도를 가지고 귀속된 최초의 위협 행위자 그룹입니다. APT3의 피해를 입은 분야의 기업들은 이제 중국 정부의 자원과 기술을 방어하기 위해 전략을 조정해야 합니다. 이러한 실제 다윗과 골리앗의 상황에서 고객은 스마트한 보안 제어와 정책은 물론 실행 가능하고 전략적인 위협 인텔리전스가 모두 필요합니다.

APT3는 단순히 악의적인 사이버 활동을 하는 또 다른 사이버 위협 그룹이 아니라, 연구 결과에 따르면 보이유섹은 국가안전부의 자산이며 그들의 활동은 중국의 정치, 경제, 외교, 군사 목표를 지원하는 것으로 나타났습니다.

MSS는 국가 및 당 지도부로부터 정보 수집 요구사항을 도출하며, 이 중 많은 부분은 공식 정부 지침인 '5개년 계획'을 통해 5년마다 광범위하게 정의됩니다. APT3의 많은 피해자들은 최근 5개년 계획에서 강조된 분야에 속해 있으며, 이에는 녹색/대체 에너지, 방위 관련 과학 기술, 생물 의학, 항공우주 분야가 포함됩니다.