사이버 보안: Sophos 방화벽을 표적으로 삼는 중국 해커의 공격을 5년간 감시합니다.

측면에서 사이버보안, 영국 회사 Sophos는 중국 국가와 연계된 해커 그룹의 활동을 면밀히 모니터링하는 데 5년을 보냈습니다. 이러한 사이버 범죄자들은 ​​표적을 목표로 정교한 기술을 배포했습니다. 방화벽 소포스에서. 조사 결과 사용 사실이 드러났다. 봇넷 그리고 악성코드, 강조 표시하면서 전술, 기술 및 절차 (TTP) APT31, APT41 및 Volt Typhoon을 포함한 이러한 그룹의 그룹입니다. 이 조사의 핵심은 네트워크 장치가 해커가 선호하는 진입점으로 나타나 중요한 취약점과 수명이 다한 시스템을 악용하는 경우가 많습니다. Sophos는 이러한 위협을 예측하고 저지하기 위해 모니터링 시스템을 구현하여 다음과 같은 고급 보안 솔루션의 중요성을 보여줍니다.BDU, XDR 끊임없이 변화하는 위협 환경에서 지속적인 모니터링 요구 사항을 충족합니다.

영국 기업 소포스(Sophos)는 지난 5년 동안 중국 정부와 연계된 사이버 범죄자들과 치열한 전투를 벌여왔습니다. 해커들은 대규모 스파이 활동을 수행하기 위해 Sophos 방화벽의 보안 취약점을 악용했습니다. 원격 악성 코드 설치와 관련된 초기 사건은 중국 해커 그룹에 대한 복잡한 사냥의 시작을 알렸습니다. 이 조사 결과, 네트워크 장치의 심각한 취약점이 발견되었고 청두에서 공동 연구를 진행하게 되었습니다. 다음은 Sophos가 식별한 상호의존성과 전략에 대한 개요입니다.

사이버 간첩 활동 적발

Sophos는 중국 정부의 지원을 받는 해커들이 어떻게 감시 및 사이버 스파이 활동을 수행했는지 자세히 설명하는 보고서를 발표했습니다. 2018년에는 인도에 위치한 Sophos 자회사 Cyberoam에서 침입이 감지되었습니다. 해커는 원격 액세스 트로이 목마를 사용하여 시스템에 액세스했으며, 처음에는 사소한 사고로 보였던 것이 복잡하고 이전에 알려지지 않은 루트킷의 작업인 것으로 밝혀졌습니다.

클라우드 인프라 운영

사이버 범죄자들은 ​​잘못 구성된 AWS 서비스를 악용하는 등 클라우드 구조를 손상시키는 혁신적인 방법을 개발했습니다. Sophos 연구원들은 이것이 컴퓨터 장치를 대상으로 하는 악성 코드의 향후 개발을 위해 데이터를 수집하려는 초기 노력을 의미한다고 믿습니다. 회로망.

사이버범죄자에 대한 심층 분석

첫 번째 공격이 발생한 지 2년 후, 소포스는 전 세계 수많은 방화벽이 감염되자 조사를 강화했습니다. 봇넷. 해커들은 제로데이 취약점을 이용해 WAN 네트워크에 침투해 민감한 데이터에 접근하고 로컬 네트워크에 악성코드를 배포했습니다.

쓰촨성 연결

조사를 통해 Sophos는 “Sichuan Silence Information Technology” 및 University of Electronic Science and Technology와 같은 청두의 기관이 포함된 쓰촨의 연구 커뮤니티로 연결되었습니다. 이들 기업은 중국 정부를 위해 공격적인 작전을 수행하는 하청업체와의 연관성을 분석하는 과정에서 확인되었습니다.

인프라 및 특정 목표

Sophos는 이러한 공격의 진행 상황을 추적해 왔으며 2021년부터 고도로 표적화된 공격으로 시작되는 전략적 변화에 주목했습니다. 해커들은 동남아시아의 핵 인프라, 공항, 군사 기관 및 전력 인프라를 표적으로 삼았습니다. 이로 인해 Cyberoam 제품에 대한 공격을 수행하고 미국의 중요 인프라에 침투하는 것으로 알려진 APT31, APT41 및 Volt Typhoon과 같은 그룹에 대한 연결이 노출되었습니다.

네트워크 장치: 취약한 지점

Sophos 보고서는 사이버 공격에 대한 네트워크 장치의 취약성을 강조합니다. 이는 정부 기관 및 기타 기관을 감시하는 데 사용되는 260,000개의 장치를 갖춘 중국 봇넷을 FBI가 제거한 사건에서 더욱 두드러졌습니다. 수명이 다해 더 이상 보안 업데이트를 받을 수 없는 장치는 해커에게 이상적인 진입점이 됩니다.