A report published at Wall street journal claims that hackers from china had conducted a “coordinated, covert and targeted” campaign of cyber espionage against major Western energy firms.

월스트리트 저널은 중국발 해커가 “covert and targeted” 은닛 및 타겟 공격을 통해 메이저 웨스턴 에너지 회사에사이버 산업스파이 행위를 일으켰다고 밝혔다.

The probe is been carried out by McAfee and the report was expected to be out on yesterday.

McAfee사를 통해 검증되고 있으며, 리포트는 어제 작성된 것으로 예상된다. 

According to McAfee, the cyberattacks successfully took gigabytes of highly sensitive internal documents, including proprietary information about oil- and gas-field operations, project financing and bidding documents. 

McAfee사에 따르면 사이버공격은 비밀수준이 높은 내부 문서와 오일 및 가스 필드의 운영에 관한특허, 금융 프로젝트 및 입찰 문서들을 성공적으로 빼내 갈 수 있었다고 한다. 

And that pattern of espionage, the company said, should raise fresh alarms in the corporate world about information theft.

이 스파이 공격 행위들은 세계 유수의 모든 회사들의 내부정보를 해커들이 빼내갈 수 있다는 것에 대한 청신호로 볼 수 있다고 말했다.

McAfee diagram explaining the attack (McAfee 사가 설명한 공격 다이어그램)

McAfee named the attack “Night Dragon”. Hackers penetrated company networks through Web servers, compromised desktop computers, bypassed safeguards by misusing administrative credentials, and used remote administration tools to obtain the information, the security firm said late yesterday.

McAfee 사는 이 공격을 “나이트 드래곤” 이라고 명명했으며, 해커는 피해회사의 웹서버, 데스크탑 컴퓨터들, 잘못 사용된 관리자 권한, 원격 관리 툴을 이용하여 내부 정보를 획득하였다고 밝혔다.

McAfee and other security companies now have identified the method and can provide a defense.

McAfee 및 다른 보안회사들은 이와 같은 공격방법들은 이미 시그니쳐로 정의되었으며, 이것을 막을 수 있는 방법을 제공할 수 있다고 밝혔다.

Here’s a small abstract from the report:

While we believe many actors have participated in these attacks, we have been able to identify one individual who has provided the crucial C&C infrastructure to the attackers–this individual is based in Heze City, Shandong Province, China. Although we don’t believe this individual is the mastermind behind these attacks, it is likely this person is aware or has information that can help identify at least some of the individuals, groups, or organizations responsible for these intrusions.

많은 해커들이 이 공격 행위를 진행하고 있을 때, 우리는 높은 위험도의 C&C서버들이 중국 산동상 헤제시에서 공격자들이 제어하고 있음을 확인할 수 있었다. 물론 이 공격들을 각각 정확히 누가 은밀히 만들어냈는지는 확인 할 수 없었지만 말이다. 

The individual runs a company that, according to the company’s advertisements, provides “Hosted Servers in the U.S. with no records kept” for as little as 68 RMB (US$10) per year for 100 MB of space. The company’s U.S.-based leased servers have been used to host the zwShell C&C [command and control] application that controlled machines across the victim companies.

연간 약 68위안 (10달러 정도) 의 돈으로 100메가의 공간을 제공해주는 미국 소재의 호스팅 서버들이 이 C&C서버를 실행하고 있는 것으로 광고를 통해 확인하였다. 이 서버들은 zwShell C&C 어플리케이션을 이용하여 피해 회사들을 제어 하고 있었던 것으로 확인되었다. 

Beyond the connection to the hosting services reseller operation, there is other evidence indicating that the attackers were of Chinese origin.

호스팅 서비스 리셀러의 운영용 접속을 통해서 중국으로부터 해커의 공격 증거가 있음을 확인 할 수 있었다. 

Beyond the curious use of the “zw.china” password that unlocks the operation of the zwShell C&C Trojan, 

zw.china라는 패스워드를 통해 zwShell C&C 의 운용방식을 해독 할 수 있었다. 

McAfee has determined that all of the identified data exfiltration activity occurred from Beijing-based IP [Internet Protocol] addresses and operated inside the victim companies weekdays from 9:00 a.m. to 5:00 p.m. Beijing time, 

MaAfee사는 확인된 데이터들이 조금씩 바깥으로 유출되고 있음을 발견하였으며, 이는 베이징 발원의 IP였다. 그리고 베이징 시간으로 평일 오전 9시부터 오후 5시까지 피해회사들을 운영하고 있음을 알 수 있었다.  

which also suggests that the involved individuals were “company men” working on a regular job, rather than freelance or unprofessional hackers. 

이것은 프리랜스 혹은 해커가 아니라 일정한 직업을 가지고 고용된 누군가가 해킹 및 공격을 진행음을 의미하는 것이다.

In addition, the attackers employed hacking tools of Chinese origin and that are prevalent on Chinese underground hacking forums. 

나아가 공격자들은 중국의 언더그러운드 해킹 포럼에서 다량으로 만들어지고 있는 해킹툴을 구매하여 사용한 것으로 보인다. 

These included Hookmsgina and WinlogonHack, tools that intercept Windows logon requests and hijack usernames and passwords…

확인된 공격툴 중 Hookmsgina 와 WinlogonHack 이라는 공격툴은 윈도우 로그온 요청과 아이디 패스워드를 획득 할 수 있는 툴이다. 

Although it is possible that all of these indicators are an elaborate red-herring operation designed to pin the blame for the attacks on Chinese hackers, we believe this to be highly unlikely. 

이러한 것들은 중국인 해커들의 공격시도들이 정교한 붉은 청어 작전 (Red-herring operation) 으로 설계되어 있음을 의미하는 지표라 할 수 있다. 

텅날개 주석 : 붉은 청어 작전인 Red-herring operation 은 협상가들이 사용하는 치밀한 교란작전을 의미합니다. 해석하다가 붉은 청어가 갑자기 튀어나와서 먼소린가 했습니다. 

붉은 청어 작전은 상대방이 낌새조차 못 차리게 완벽하게 위장한 상태에서 상대를 다급하게 몰아내어 자신이 원하는 협상이나 목표를 이끌어내는 것을 의미합니다. 

따라서 여기서 말하는 붉은청어 작전은 APT 공격으로써 상대방이 눈치채지 못하는 상태에서 기도비닉을 유지한 상태에서 자신이 원하는 민감한 데이터를 몰래몰래 유출해 나가는 양태를 말한다 할 수 있겠습니다.

Further, it is unclear who would have the motivation to go to these extraordinary lengths to place the blame for these attacks on someone else.

하지만 또다른 누군가 이와같은 특별한 형태의 공격을 행하고 있는지 알수 없어 요원한 상태이다.

The white paper can be read here.

오역과 반말이 마구 섞여 있으니 알아서 이해하시기 바라빈다. -텅날개

There are currently no comments.