블랙베리가 중국 정부와 연관된 것으로 추정되는 5개의 APT(Advanced Persistent Threat, 지능형 지속 위협) 그룹에 대한 새로운 분석 보고서를 발표했다.
보고서는 APT 그룹이 안드로이드로 구동되는 리눅스 서버, 윈도우 시스템 및 모바일 디바이스를 전략적으로 공격하면서도 어떻게 거의 10년 동안 발각되지 않을 수 있었는지에 대한 분석을 주 내용으로 한다.
블랙베리는 최근 미 법무부가 56개의 모든 FBI 현장 사무소에서 공개한 수사 중 1천 건 이상의 지적 재산(intellectual property)을 노린 경제 스파이 활동을 분석했다. 지속적인 공격 캠페인에 사용된 장치는 재택 근무 기간을 노리고 이미 심어져 있었다.
넷크래프트(Netcraft)와 리눅스 파운데이션(Linux Foundation)이 2019년과 2020년에 발표한 자료에 따르면, 리눅스 운영체제는 모든 웹 서버의 75%, 전 세계 슈퍼 컴퓨터의 98%, 주요 클라우드 서비스 제공 업체의 75%를 차지하고 있다.
또한 대부분의 대기업은 홈페이지를 운영하고, 네트워크 트래픽을 프록시하며, 중요한 데이터를 저장하는 데 리눅스를 사용하는 것으로 조사됐다. 보고서는 APT가 광범위한 대상에 "운영을 위한 교두보”를 구축하기 위해 리눅스 서버의 특성인 "항상 켜져 있고, 항상 접속이 가능한(always on, always available)" 점을 어떻게 활용했는지 조사했다.
분석 결과, 해당 APT 그룹들은 도구, 기술, 인프라 및 대상 정보를 다른 APT 그룹뿐만 아니라, 정부 기관과도 쉽게 공유하는 중국 정부와 계약을 맺은 민간 전문가들로 이뤄져 있다는 예상이다.
특히 APT 그룹은 일반적으로 각자의 목표를 추구하고 다양한 공격 타깃에 집중해 왔지만, 리눅스 플랫폼을 타깃으로 할 땐 이러한 그룹 사이에 상당한 수준의 조직적 움직임이 있었던 것으로 보여진다.
아울러 크로스 플랫폼 지능형 지속 위협(APT) 스파이 활동 캠페인에 퍼진 모바일 멀웨어 규모 에서 나타났던 추세가 지속되고 있는 것이 확인됐다. 안드로이드 멀웨어 샘플 중 하나는 상용화된 침투 테스트 도구의 코드와 매우 흡사하지만 해당 상용 도구가 시중에 나오기 거의 2 년 전에 만들어진 것으로 나타났다.
공격자들이 희망하는 전술은 지속적인 애드웨어 경고 속에서 AV 레드 플래그가 그저 똑같은 알람 신호로 묵살되면서 감염율을 증가시키는 것이며, 공격자는 신뢰할 수 있는 네트워크 트래픽으로 보이는 명령제어(C2)와 데이터 유출 통신을 위해 클라우드 서비스 제공 업체를 이용하는 방향으로 전환하고 있었다.
블랙베리는 "대부분의 보안 업체는 서버 랙 대신 프론트 오피스용으로 설계된 제품에 엔지니어링과 마케팅을 집중하기 때문에 일반적으로 사용자 대면이 아닌 리눅스에 대한 커버는 희박하다"며, "이러한 APT 그룹은 이런 보안 격차를 정조준하고, 타깃 영역의 지적 재산을 탈취하려는 목적을 위해 수 년간 아무도 모르게 이를 악용했다"고 밝혔다.
