일본 주요 인프라 산업을 노린 APT 공격

일본 주요 인프라 산업을 노린 APT 공격

日本の主要インフラ産業に執拗なサイバー攻撃--近隣国からの可能性も

보안업체Cylance는 일본의 주요 산업 및 기관시설을 노리는 “Operation Dust Storm(모래폭풍대작전)” 의 레포트를 발표하였습니다. 

이 조직은 2010년부터 공격을 시작하였으며, 지금까지 일본, 한국, 미국 및 기타 아시아 국가의 주요 산업시설을 대상으로 다양한 수법을 이용한 공격을 진행중에 있습니다. 

또한 SPEAR의 최신 조사결과에 따르면, 아직 정체가 밝혀지지 않은 공격조직이 공격의 표적을 '일본기업 혹은 해외 기업의 일본부서'로 옮기고 있다고 밝혔습니다. 

이 조직들은 충분한 예산이 있고, 인재와 공격 기술 면에서 충분한 리소스를 갖고 있기 때문에 장기적인 공격을 진행할 것으로 예상되는 특징이 있습니다.

Cylance연구원들은 2015년부터 일본의 조직, 주로 일본 전력, 석유 및 천연가스, 대중교통 및 건설업계등의 네트워크를 집중적으로 공격하고 있는 것으로 확인되었습니다. 해킹 피해를 당한 기업들 리스트에는 자동차 제조업체, 한국 전력회사의 일본법인 및 석유천연가스 업체가 포함되어 있었습니다. 

이 조직은 주로“워터링홀”기법과 “스피어 피싱” 기법을 자주 사용하며, 공격타겟에 커스터마이징 된 백도어 및 제로데이 취약점을 이용하여 공격 성공률을 높이고 있습니다. 2015년 5월 대규모의 공격을 진행하였는데, 이 공격은 일본과 한국을 타겟으로 하였으며, 몇몇 안드로이드 백도어를 사용하기도 하였습니다. 

<이미지 출처 : https://cdn2.hubspot.net/hubfs/270968/2015_cylance_website/images/operation-dust-storm/Dust_Storm_Infographic_v4.pdf?t=1456355696065 >

2011년 공격자들은 Adobe Flash Player (CVE-2011-0611) 및 internet Explorer(CVE-2011-1255) 제로데이 취약점을 이용하여 Misdat 백도어의 변종을 유포하였으며, 보안연구원들은 이때부터 이 조직을 주의깊게 보기 시작하였습니다. 

이 조직이 비록 몇몇 백도어를 아시아를 공격하기 위하여 특별히 제작하였으며, 2010년 최초로 공격을 진행하였지만, 이와 관련되서는 정보가 거의 없습니다. 2011년 또한번의 공격을 감행하였는데, 이 때패치가 되지 않은 Internet Explorer 8(CVE-2011-1255) 을 타겟으로 진행되었으며, 이 공격에서 “모래폭풍 대작전” 그룹의 존재가 밝혀지게 되었습니다. 

2011년 10월, 해커들은 카다피가 죽은 후 리비아 위기와 관련된 정보들을 수집하였습니다. 2012년에는 Internet Explorer 제로데이 취약점 CVE-2012-1889를 이용하여 스파이 활동을 하였습니다. Cylance전문가들은 2013년 3월 이 조직의 공격이 일시적으로 감소하는 것에 주목하였는데, 마침 이때가 Mandian이 APT1 캠페인을 진행하는 중국의 APT조직 분석보고서를 발표한 후였기 때문입니다.  2014년 2월, 이 조직은 Internet Explorer 제로데이 취약점인 CVE-2014-0322 워터링홀 방법을 이용하며 공격을 시작하였습니다. 

 

Operation Dust Storm에 관한 완전한 레포트는 이 페이지에서 다운로드할 수 있다. 이 레포트에는 공격의 타입, 표적, 2010년에서 2015년까지의 공격의 흐름 등이 기재되어 있습니다.

참고 : 

http://securityaffairs.co/wordpress/44749/cyber-crime/operation-dust-storm.html

http://japan.zdnet.com/article/35078471/

https://www.cylance.com/hubfs/2015_cylance_website/assets/operation-dust-storm/Op_Dust_Storm_Report.pdf?t=1456244940728