Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Shadow Brokers 전에 NSA 익스플로잇을 사용한 중국 해커들
작성일 2021-02-23 조회 20

 

 

2016년 8월 13일, 자신들을 "The Shadow Brokers " 라고 부르는 해킹부서는 미국 국가 안보국(NSA)의 TAO(Tailored Access Operations) 부서에 소속 된 것으로 여겨지는 정교한 위협 행위자인 Equation Group에서 사용하는 악성 코드 도구와 익스플로잇을 훔쳤다고 발표했다.

 

이 그룹은 전례없는 공개 이후 사라졌지만 체크 포인트 리서치가 발견한 새로운 "결정적인" 증거는 이것이 독립된 사건이 ​​아님을 보여준다.

 

"마이크로 소프트가 중국 APT31(일명 Zirconium)에 기인한 제로 데이인 CVE-2017-0005의 익스플로잇은 실제로 'EpMe'라는 코드 명 Equation Group 익스플로잇의 복제품입니다." 체크 포인트 연구원 Eyal Itkin과 Itay Cohen이 말했다.

 

"APT31은 Shadow Brokers가 유출되기 2년도 더 전에 32비트 및 64비트 버전의 EpMe 파일에 액세스할 수 있었습니다."라고 덧붙였다.

 

2015년 2월 사이버 보안 회사 Kaspersky의 연구원들이 소위 말하는 Equation Group은 2001년에 수만 명의 피해자에게 영향을 미치는 일련의 공격과 연결되어 있으며 등록된 명령 및 제어 서버 중 일부는 1996 년으로 거슬러 올라가며 Kaspersky는 이 그룹을 "사이버 스파이의 창조자" 라고 부른 바 있다.

 

2017년 3월에 처음 공개된 CVE-2017-0005는 Windows XP 및 Windows 8까지 실행되는 시스템에서 잠재적으로 권한 상승(EoP)을 허용할 수 있는 Windows Win32k 구성 요소의 보안 취약점이다. 

 

체크 포인트는 과거 2,500년 동안 중국에서 사용된 양날 직선 검의 이름을 따서 복제된 변종을 "Jian"이라고 명명했고 Equation Group에서 개발한 미국 엔티티를 대상으로하는 공격 도구로 언급되었다.

 

 

 

[그림1.  EpMe / Jian / CVE-2017-0005의 타임라인]

 

 

Jian은 2014년에 복제되어 2017년에 마이크로 소프트가 근본적인 결함을 패치할 때까지 2015년부터 운영되었다.

 

정부가 후원하는 해킹집단 APT31는 중국 정부의 명령으로 정찰 작업을 실시하는데 지적 재산권 도난 및 크레덴셜 수확을 전문으로 한다.

 

최근의 캠페인으로는 미국의 선거 직원을 대상으로 GitHub에서 호스팅되는 Python 기반 임플란트를 다운로드하는 링크를 포함한 스피어 피싱 이메일을 배포해 공격자가 파일을 업로드 및 다운로드하고 임의의 명령을 실행할 수 있게하는 것이다.

 

DanderSpritz 공격 후 프레임 워크에는 4개의 다른 Windows EoP 모듈이 포함되어 있으며, 이 중 2개는 2013년 개발 당시 제로 데이였으며 체크 포인트는 "EpMo"라고하는 제로 데이 중 하나가 Shadow Brokers 유출에 대응하여 2017년 5월에 "명백한 CVE-ID가 없음"으로 Microsoft가 패치한 것으로 나타난다. 

 

EpMe는 이와 완전히 다른 제로 데이 취약점이다.

 

DanderSpritz는 2017년 4월 14일 "Lost in Translation"이라는 제목으로 Shadow Breakers가 유출한 여러 익스플로잇 도구 중 하나로 이 유출은 나중에 65개국 이상에서 수백억 달러에 달하는 피해를 입힌 WannaCry 및 NotPetya 랜섬웨어 감염을 강화할 EternalBlue 익스플로잇을 게시한 것으로 가장 잘 알려져 있다.

 

EpMo의 소스 코드가 거의 4 년 전에 유출 된 이후 GitHub에서 공개적으로 액세스 가능 함에도 불구하고 새로운 Equation Group 익스플로잇이 밝혀진 것은 이번이 처음이다.

 

EpMo는 GDI(Graphics Device Interface)의 UMPD(User Mode Print Driver) 구성 요소 중 NULL-Deref 취약점을 악용하여 Windows 2000을 실행하는 컴퓨터에서 Windows Server 2008 R2로 배포되었다.

 

연구원들은 "Equation Group 및 APT31 익스플로잇에 대한 분석 외에도 EpMe 익스플로잇은 CVE-2017-0005에 대한 Microsoft의 블로그에 보고된 세부 정보와 완벽하게 일치합니다." 라고 말했다.

 

이 공통점 외에도 EpMe와 Jian은 동일한 메모리 레이아웃과 동일한 하드 코딩된 상수를 공유하여 둘 중 하나가 다른것으로 복사되었거나 두개 모두 알 수없는 제 3 자에 의해 만들어졌다는 사실이 힘을 얻고 있다.

 

그러나 지금까지 후자를 암시하는 단서는 없다고 연구원들은 말했다.

 

흥미롭게도 EpMe는 Windows 2000을 지원하지 않았지만 체크 포인트의 분석은 Jian이 플랫폼에 대한 "특별한 사례"를 가지고 있음을 밝혀 냈고 APT31이 2014년 어느 시점에서 Equation Group의 익스플로잇을 복사할 가능성을 높였다.

 

이전에 APT31에 기인한 제로 데이 익스플로잇인 Jian은 실제로 Equation Group에서 동일한 취약점에 대해 만든 사이버 공격 도구라는 사실은 전략적 의사 결정과 전술적 의사 결정 모두에 대한 기여의 중요성을 나타낸다.

 

"4개의 다른 익스플로잇을 포함하는 전체 익스플로잇 모듈이 GitHub에서 4년 동안 눈치 채지 못한 채 존재했었다는 단순한 사실은 Equation Group 도구 유출의 엄청난 정도를 알려줍니다." 라고 연구원은 덧붙였다.

 

 

 

출처

https://thehackernews.com/2021/02/chinese-hackers-had-access-to-us.html

https://www.bleepingcomputer.com/news/security/chinese-hackers-used-nsa-exploit-years-before-shadow-brokers-leak/

 

 

첨부파일 첨부파일이 없습니다.
태그 APT31