중국의 볼트 태풍 해커들이 미국의 주요 인프라에서 5년 동안 탐지되지 않은 채 활동했습니다.

미국 정부는 최근 Volt Typhoon으로 식별 된 중국 정부가 후원하는 정교한 해킹 그룹이 미국과 괌의 주요 인프라 네트워크에 침투했지만 무려 5년 동안 탐지되지 않은 채 남아 있었다고 밝혔습니다. Volt Typhoon의 표적이 된 이러한 중요 시스템은 통신, 에너지, 운송, 물 및 폐수 관리를 포함한 다양한 분야에 걸쳐 있습니다.

Volt Typhoon의 활동을 구별하는 것은 일반적인 사이버 스파이 활동과는 다른 파격적인 접근 방식입니다. 미국 당국에 따르면 이 그룹의 전술은 IT 네트워크 내에 거점을 구축하여 필수 기능을 방해하려는 의도로 운영 기술(OT) 자산을 향해 기동할 수 있도록 계획적인 노력을 기울이고 있음을 시사합니다.

CISA(사이버보안 및 인프라 보안국), NSA(국가안보국), FBI(연방수사국)가 Five Eyes 정보 동맹국의 지원과 함께 발표한 공동 권고문은 상황의 심각성을 강조합니다. Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda 또는 Voltzite라고도 알려진 이 해킹 그룹은 적어도 2021년 6월부터 활동해 왔습니다.

Volt Typhoon의 작업 방식에는 LotL(living off the land)과 같은 고급 기술을 활용하는 것이 포함되어 있어 악의적인 활동과 합법적인 네트워크 동작을 혼합하여 은밀하게 작동할 수 있습니다. 더욱이 그들은 KV-botnet과 같은 멀티홉 프록시를 사용하여 공격의 출처를 난독화하여 어트리뷰션을 어렵게 만듭니다.

사이버 보안 회사인 CrowdStrike는 Volt Typhoon이 특정 피해자에 맞춰진 광범위한 오픈 소스 도구에 의존하여 높은 수준의 정교함과 전략 계획을 입증했다고 지적했습니다. 그룹은 꼼꼼하게 정찰을 수행하고, 목표 환경에 맞게 전술을 조정하며, 유효한 계정과 강력한 운영 보안 조치를 사용하여 지속성을 유지합니다.

주요 목표 중 하나는 네트워크 내에서 관리자 자격 증명을 획득하고 권한 상승 결함을 활용하여 측면 이동 및 정찰을 촉진하는 것입니다. 이들의 장기 전략에는 손상된 환경에 대한 액세스를 유지하고, 탐지를 회피하고 무단 액세스를 확대하기 위한 기술을 지속적으로 개선하는 것이 포함됩니다.

도난당한 자격 증명 외에도 Volt Typhoon은 LotL 기술을 사용하여 악성 코드의 흔적을 남기지 않고 스텔스 및 운영 보안을 강화합니다. 그들은 손상된 환경 내에서 자신의 활동을 숨기기 위해 표적 로그를 삭제하기까지 하며, 활동을 밝혀내기 위한 노력을 더욱 복잡하게 만듭니다.

이 폭로는 30개국에 걸쳐 지역 뉴스 매체를 사칭하는 123개 이상의 웹사이트가 참여하는 PAPERWALL이라는 광범위한 영향력 캠페인에 관한 Citizen Lab의 조사 결과와 일치합니다. 선전 하이마이윤샹 미디어(Shenzhen Haimaiyunxiang Media Co., Ltd.)라는 베이징 소재 홍보 회사와 연결된 이들 웹사이트는 친중국 내용을 유포하고 게시 후 중요한 기사를 삭제합니다.

워싱턴 주재 중국 대사관은 허위 정보 주장을 일축했지만, 이러한 사건은 중국의 사이버 능력과 글로벌 규모의 작전에 영향을 미치는 것에 대한 우려가 커지고 있음을 강조합니다.