IOC의 한계: 중국 연계 사이버 스파이들이 프록시 네트워크로 방어 비용을 증가시키다!
Mandiant
작성자: Michael Raggi
맨디언트 인텔리전스(Mandiant Intelligence)는 중국과 연관된 사이버 스파이 활동을 오랜 기간 추적해 왔습니다. 여러 활동 중 맨디언트 인텔리전스는 중국이 배후에 있는 APT 행위자들이 ORB(operational relay box networks)라는 프록시 네트워크를 점점 더 많이 이용하고 있다는 추세에 주목하고 있습니다. ORB 네트워크는 맬웨어를 감추고 추적을 어렵게 하는 은밀한 통로라고 이해하면 됩니다. ORB 네트워크는 봇넷과 비슷하지만, 일반 컴퓨터뿐만 아니라 가상 서버(VPS), 사물 인터넷(IoT) 장치, 스마트 장치, 오래된 라우터 등으로 구성됩니다. ORB 운영자들은 이들 기기를 해킹해 ORB 네트워크를 만듭니다. 이 환경은 마치 터널처럼 작동하는데 맬웨어가 실제 출발지를 숨기고 다른 장치로 데이터를 중계하므로 추적이 쉽지 않습니다. ORB 운영자들은 새로운 장치를 추가하거나 기존 장치를 제거하면서 끊임없이 변화를 가하여 공격자들이 더 효과적으로 스파이 활동을 은폐할 수 있게 합니다.
-
이러한 메시 네트워크를 사용하며 위협 행위자들은 제로 데이 취약점을 통해 공격받고 있는 취약한 엣지 장치를 포함한 C2(Command & Control) 인프라와 피해자 환경 간의 외부 트래픽을 위장할 수 있습니다.
-
이러한 네트워크는 종종 클라우드 서비스의 VPS 노드와 라우터를 타깃으로 하는 맬웨어를 결합해 사용하며, 이를 통해 악의적인 목적으로 만든 네트워크 내에서 트래픽을 중계할 수 있는 장치 수를 늘립니다.
맨디언트는 네트워크 방어자들이 변화에 발맞춰 진화해야 한다고 생각합니다. 기업 방어 시스템은 주로 특정 침해 지표(IOC)에 의존하여 악성 활동을 파악합니다. ORB 네트워크는 끊임없이 변화하며 은닉처를 옮기므로 기존 IOC를 기준으로 탐지하기 어렵습니다. 이에 따라 기업 네트워크 방어 비용이 증가하고 스파이 행위를 하는 해커에게 유리한 상황이 만들어집니다. 이에 맨디언트는 기업의 방어 전략을 전환할 필요가 있다고 제안합니다. 특정 IOC에만 의존하지 말고 APT 행위자들을 추적하는 것처럼 ORB 네트워크 자체를 지속해서 변화하는 대상으로 여기고 추적해야 한다는 것입니다.
한계에 다다른 IOC 그리고 ORB 네트워크의 부상
사이버 보안 업계는 예전에도 APT 행위자가 ORB 네트워크를 사용하는 관행과 공격자들이 이런 네트워크를 어떻게 구현하는지와 주요 기능은 무엇인지 분석하고 해당 내용을 공개하였습니다. 그러나 최근 몇 년 동안 중국과 연계된 스파이 행위자들이 ORB 네트워크를 광범위하게 사용하는 추세에 대해서는 충분한 검토와 논의가 없었습니다. 중국과 연계된 공격자들이 ORB 네트워크를 애용한다는 것은 기업 네트워크 방어자들이 이제 인식을 바꾸어 할 때가 되었음을 시사합니다. ORB 네트워크에 대한 기술적 논의에서 벗어나 이제는 주요 중국 공격자들이 이런 유형의 네트워크를 사용하는 것이 기업의 방어에 어떤 영향을 끼치는지 진지하게 고려해야 할 때입니다. 이를 위해 다음 내용을 숙지해야 합니다.
-
ORB 네트워크는 "행위자 제어 인프라(Actor-Controlled Infrastructure)"이 개념을 약화합니다. ORB는 독립적인 단체, 계약자 또는 중국 내 관리자가 운영하는 인프라입니다. 하나의 APT 공격 그룹이 제어하는 네트워크가 아닙니다. ORB 네트워크 운영자는 네트워크 인터페이스를 생성하고 제어권을 획득한 노드(compromised node)의 네트워크를 관리하며, 여러 APT 행위자에게 ORB 접근 권한 제공한 관한 계약을 체결합니다. APT 행위자들은 ORB 네트워크를 사용해 고유한 스파이 및 정찰을 수행합니다. 이러한 네트워크는 APT 행위자가 제어하는 것이 아니며, 맞춤형 도구 배포를 위해 일시적으로 사용됩니다.
-
ORB 네트워크는 수명이 짧으며 IOC의 활용 가치를 빠르게 떨어뜨리고 있습니다. 맨디언트의 ORB 네트워크 추적 및 분석 내용에 따르면 보통 IP 주소로 식별하는 ORB 노드의 수명 주기는 매우 짧습니다. 짧을 때는 31일밖에 안 될 수도 있습니다. ORB 네트워크 운영자는 정기적으로 네트워크를 구성하는 장치(인프라)를 교체하는 작업을 합니다. 이를 인프라 순환(infrastructure cycling)이라고 부르는데, 주기는 각 ORB 네트워크마다 다릅니다. 중국의 ORB 네트워크 운영자들은 매달 상당량의 노드를 해킹한 장치나 정상적인 클라우드 서비스로 교체하는 데, 그들은 짧은 주기로 인프라를 바꾸는 것을 주요 경쟁력으로 보고 있습니다. 이런 이유로 ORB 네트워크 인프라를 단순히 차단하는 식의 접근은 효과가 낮습니다. 과거에는 특정 IP 주소나 C2 서버를 차단하는 것이 효과가 컸습니다. 그러나 지속해서 인프라를 바꾸는 ORB 네트워크는 이런 방법이 효과적이지 않습니다. 인프라 순환이란 ORB 네트워크의 특성은 IOC 정보의 유효 기간을 점점 더 짧아지게 만들고 있고, 앞으로 더 이상 유용하지 않은 순간마저 올 것으로 보입니다.
-
스파이 활동의 속성을 분석하는 데 있어 네트워크 인프라 정보만으로는 충분하지 않습니다. 예전에는 공격 트래픽의 출발 IP 주소를 통해 공격자의 위치를 추적하는 방법을 주로 사용하였습니다. 이는 침입의 속성을 연구하는 데 중요한 단서였습니다. 하지만 중국 연계 공격의 경우 이런 식의 속성 파악이 효과적이지 않습니다. ORB 네트워크는 여러 해킹된 장치를 연결해 만든 복잡한 네트워크입니다. 따라서 공격 트래픽은 피해 기업과 지리적으로 가까운 장치를 통해 나갈 수 있어 추적이 어렵습니다. 또한, 특정 ORB 네트워크를 이용하는 공격자가 여럿일 구 있어 공격의 실제 주체를 파악하기도 어렵습니다. 따라서 공격에 사용한 도구와 방법을 분석하는 것이 공격자를 추적하는 중요 단서가 될 수 있습니다. 정리하자면 ORB 네트워크를 이용하면 기존 추적 방식으로 출처를 파악하기 어렵습니다. 예를 들어 타깃과 동일한 지역의 가정용 ISP에서 오는 트래픽은 직원들이 자주 사용하므로 수작업 방식으로 하는 검토에 걸릴 가능성이 작습니다. 사이버 킬 체인의 무기화 단계는 이제 제3자 제공자가 관리하여 네트워크 지표를 사용한 사이버 공격의 속성을 판단하는 것을 복잡하게 만들고, 비정상적인 트래픽 탐지를 어렵게 만듭니다. 따라서 공격 도구와 방법 분석 등 포괄적인 조사가 필요합니다.
ORB 네트워크 해부
ORB 네트워크는 항상 네트워크 인프라 노드로 구성됩니다. 이러한 노드는 해킹한 라우터, 임대한 VPS 장치 또는 이 둘의 혼합으로 이루어질 수 있습니다. 계약을 맺은 공격자에게 인프라 접근 권한을 제공하는 상업적 형태의 ORB 네트워크가 등장한 것은 2016년으로 거슬러 올라갑니다. ORB1/ORBWEAVER 같은 현대적인 네트워크는 2020년부터 추적할 수 있었습니다. ORB 네트워크의 노드는 특정 지역에 국한되어 있지 않고 일반적으로 전 세계에 분포되어 있습니다. ORB 운영자들은 노출을 줄이거나 특정 국가의 인터넷 인프라에 대한 의존을 줄이기 위해 전 세계의 ASN 제공 업체를 활용합니다.
ORB3 또는 SPACEHOP로 알려진 네트워크는 여러 중국 연계 위협 행위자들이 사용하는 매우 활동적인 네트워크입니다. 맨디언트는 현재 이를 추적하고 있습니다. 이들 네트워크는 전 세계적으로 분포한 노드를 운영 중이며 APT 관련 트래픽 양이 상당합니다. 특히 이들 네트워크는 유럽, 중동, 미국에 상당한 양의 노두를 유지하고 있는데, 이 지역들은 APT15 및 APT5와 연관된 것으로 의심하는 UNC2630의 주요 활동 무대입니다. 또한, 이들 네트워크는 표 1과 같은 호스팅이나 인터넷 서비스 제공 기업의 서비스로 VPS 기반 장치를 등록해 노드를 다양화하기도 합니다.
Figure 1: SPACEHOP/ORB 노드 분포 히트맵
ORB Network Classifications
Mandiant classifies ORB networks into two fundamental types. Networks can be provisioned networks, which are made up of commercially leased VPS space that are managed by ORB network administrators, or they can be non-provisioned networks, which are often made up of compromised and end-of-life router and IoT devices. It is also possible for an ORB network to be a hybrid network combining both leased VPS devices and compromised devices. Mandiant notes that it has observed both a wide diversity of China-nexus threat actors using each kind of ORB network. The type of threat actor organization does not appear to limit which type of network threat actors utilize, despite historic indications that military-related entities have preferred procured networks in the past. Alternatively, threat actors with a civilian intelligence background have proven more likely to utilize non-provisioned networks consisting of routers compromised by custom malware.
ORB 네트워크 분류
맨디언트는 ORB 네트워크를 임대 서버를 활용하는 구축된 네트워크와 해킹한 장치를 활용하는 비구축 네트워크로 유형을 구분합니다.
구축된 네트워크(Provisioned Networks)
-
정상적인 서비스를 통해 임대한 VPS 장치
-
ORB 운영자가 노드 관리
-
임대한 장치의 운영체제나 가상 이미지를 공격자가 직접 관리해야 함
비구축 네트워크(Non-Provisioned Network)
-
해킹한 라우터나 사용 기한이 만료된 IoT 장치 등으로 구성
-
공격자가 맬웨어를 설치해 네트워크에 장치를 추가
-
대다수 비구축 네트워크는 임대 VPS를 공격자 제어 운영 서버(ACOS 노드)로 사용함
ORB는 임대한 VPS 장치와 해킹한 장치를 결합한 하이브리드 네트워크일 수도 있습니다. 맨디언트는 여러 종류의 ORB 네트워크를 사용하는 여러 중국 연계 위협 행위자들을 관찰한 바 있습니다. 과거에 군사 관련 기관이 구축한 네트워크를 선호하는 경향이 있었지만, 최근에는 협 행위자들이 다양한 유형의 네트워크를 사용할 수 있어 선호를 특정할 수 없습니다. 민간 정보기관을 배경으로 두고 있는 위협 단체는 맬웨어를 이용해 라우터를 해킹하는 식으로 비구축 네트워크를 구성하는 경우가 많습니다.
ORB 네트워크 구조
맨디언트는 수년간 여러 ORB 네트워크를 분석해 구성 요소를 파악하고 이를 이해하기 쉬운 보편적인 구조(Universal Anatomy)로 만들었습니다. 이 구조는 기업의 보안 담당자가 악의적인 ORB 네트워크 노드를 식별하는 데 도움이 되는 지침입니다. 모든 ORB 네트워크는 몇 가지 공통 요소로 구성되어 있지만, 각 네트워크의 세부 설정이나 트래픽 이동 경로는 조금씩 다를 수 있습니다. 다음은 ORB 네트워크가 작동하는 데 필요한 필수 요소입니다.
-
공격자 제어 운영 서버(ACOS): ORB 네트워크 내의 노드를 관리하는 제어 서버입니다.
-
중계 노드(Relay Node): 주로 중국이나 홍콩의 클라우드 서비스 제공 업체에서 임대하는 가상 서버(VPS)입니다. 이 노드는 ORB 네트워크를 사용하는 사람들이 네트워크에 인증하고 더 넓은 범위의 트래픽 통로를 통해 트래픽을 전달하는 데 사용됩니다.
-
트래버설 노드(Traversal Nodes): ORB 네트워크를 구성하는 대부분의 노드입니다. 구축된 네트워크의 노드이거나 비구축된 네트워크의 노드일 수 있으며, ORB 네트워크를 통해 트래픽의 출처를 숨기기 위해 사용됩니다. 일부 네트워크는 여러 유형의 트래버설 노드나 여러 트래버설 레이어를 포함할 수 있습니다.
-
출구/중간 저장 노드(Exit/Staging Nodes): 공격자가 제어하는 노드이며, 보통 트래버설 노드와 비슷한 특징을 가지고 있으며, ORB 네트워크를 빠져나와 피해 조직의 시스템에 침투하는 데 사용됩니다.
-
피해자 서버: ORB 네트워크 노드와 통신하는 피해 조직의 시스템입니다.
Figure 2: ORB 네트워크를 구조를 보여주는 다이어그램
맨디언트의 조사 결과에 따르면 대부분의 ACOS 서버와 릴레이 노드는 중국과 관련된 IP 공간(RPC-affliated IP space)이나 홍콩에 있습니다. 또한, 분석가들은 ORB 네트워크의 중요 서버들을 중국의 방화벽(Great Firewall) 뒤에 두고 있는 이유로 법적 문제를 피하고, 탐지와 대응을 어렵게 하기 위함으로 풀이하고 있습니다. 여기서 말하는 법적 문제란 표적이 되는 기업이 피해를 보아도 법적 조치를 취하기 어렵게 하는 것을 뜻합니다.
예를 통해 알아본 ORB 네트워크
ORB3 SPACEHOP - 구축된 네트워크
많은 APT 그룹이 사용하는 대표적인 ORB 네트워크는 ORB3 SPACEHOP입니다. 구축된 네트워크로 구분되는 ORB3 SPACEHOP는 현재 맨디언트가 지속해서 추적 중입니다. 이 네트워크는 중국에서 운영되는 단일 조직이 제공한 서버로 구성되어 있습니다. APT5와 APT15 같은 중국 연계 위협 행위자들이 이를 활용해 네트워크 정찰 스캔과 취약점 악용을 수행하여 왔습니다.
ORB3 네트워크는 북미, 유럽, 중동에 있는 APT5와 APT15이 공격 목표에 위협이 됩니다. 예를 들어 UNC2630(APT5와 연관이 의심되는 그룹)은 2022년 12월 CVE-2022-27518 취약점을 악용하기 위해 이 네트워크의 노드를 사용했습니다. NSA도 같은 시기에 APT5가 이 취약점을 악용한 것으로 확인했습니다.
이 ORB 네트워크는 복잡한 네트워크와 비교하면 꽤 단순한 편입니다. 홍콩이나 중국에 있는 클라우드 서비스 기업이 호스팅하는 릴레이 서버를 사용하고, GitHub에서 제공되는 C2 프레임워크를 설치해 하위 릴레이 노드를 관리합니다. 릴레이 노드는 주로 클론 된 리눅스 기반 이미지로, 악성 트래픽을 피해자 환경과 통신하는 출구 노드로 프록시합니다.
Figure 3: ORB3 / SPACEHOP 네트워크 다이어그램
ORB2 FLORAHOX - 비구축된 네트워크
FLORAHOX는 비구축된 네트워크 및 하이브리드 ORB 네트워크의 대표적인 예입니다. 이 네트워크는 ACOS 노드, 해킹한 라우터 및 IoT 장치, 맞춤형 릴레이 네트워크 계층과 인터페이스 하는 VPS 서버로 구성됩니다. FLORAHOX는 소스에서 트래픽을 프록시하여 TOR 네트워크와 여러 해킹한 라우터 노드를 통해 릴레이하여 트래픽 출처를 숨깁니다. 여러 중국 연계 위협 행위자들이 사이버 스파이 캠페인에서 이 네트워크를 사용하는 것으로 추정됩니다.
이 네트워크는 FLORAHOX라는 맬웨얼르 통해 라우터를 침해하여 만든 여러 서브 네트워크로 구성되어 있습니다. 이 네트워크는 여러 종류의 맬웨어를 사용해 라우터를 침해하고 네트워크를 확장하는 것으로 보입니다. FLORAHOX는 여러 개의 라우터와 페이로드와 네트워크를 사용하는 APT 행위자들이 함께 사용하는 다중 테넌트 네트워크입니다. APT31과 Zirconium 같은 중국 연계 위협 행위자들이 이 네트워크를 사용하는 것으로 알려져 있습니다.
또한, 2023년 1월 PETALTOWER라는 MIPS 라우터 터널러 페이로드와 관련 제어 Bash 스크립트(SHIMMERPICK)가 식별되었습니다. 이러한 도구들의 목적은 네트워크를 횡단하기 위한 구성을 제공하고, 명령줄 입력을 기반으로 기존 FLORAHOX 노드 네트워크를 횡단하는 것입니다.
ORB2는 더 복잡한 구조를 가지고 있는 것으로 보입니다. TOR 네트워크, 임대 서버(VPS) 그리고 CISCO, ASUS, Drateck 등 해킹된 라우터를 활용하여 트래픽을 전달합니다. 이 네트워크는 장기간에 걸쳐 지속해서 확장되고 있는데, 여러 세대의 맬웨어를 사용해 취약한 라우터를 네트워크에 추가하는 방법으로 발전하고 있습니다.
Figure 4: ORB2 / FLORAHOX 네트워크 다이어그램
방어자의 딜레마
중국 연계 스파이 행위자들이 ORB 네트워크를 광범위하게 채택하면서 기업 환경을 악성 인프라로부터 방어하는 것이 더욱 복잡해지고 있습니다. 이전에는 공격자들이 사용하는 인프라를 직접 차단하는 식으로 대응할 수 있었지만, 이제는 방어자들은 다음 사항까지 고려해야 합니다.
-
일시성: 현재 ORB 네트워크에 포함된 인프라는 무엇인가?
-
다양성: 이 ORB 네트워크를 사용하는 이는 누구이며, 이들 중 누가 우리 조직의 네트워크를 노리는가?
-
휘발성: 이 인프라가 ORB 네트워크의 일부로 얼마나 오래 지속될 것이며, 인프라의 변화가 새로운 전술을 나타내는가?
맨디언트는 ORB 네트워크가 제기하는 도전에 대응하는 최선의 방법으로 스파이 C2 인프라를 단순한 침해 지표로 추적하는 것을 중단하고, 고유한 전술, 기법, 절차(TTP)를 가진 엔티티로 추적하기 시작하라고 제안합니다. IP 차단만으로는 충분하지 않습니다. 대신 ORB 네트워크를 살아 있는 아티팩트로 여기고 포트, 서비스, 등록/호스팅 데이터 등의 특성을 포괄적으로 고려해 ORB 환경의 진화를 추적해야 합니다.
ORB를 IOC와 같은 단편적인 지표가 아니라 APT처럼 지속해서 관찰하고 분석해야 하는 대상으로 보안 운영의 인식과 방어 패러다임을 전환하면, ORB라는 새로운 도전 과제 앞에서 방어자의 딜레마에서 벗어날 수 있습니다.
결론
침해된 네트워크에서 트래픽을 숨기고 은폐하기 위해 ORB 네트워크를 사용하는 것은 새로운 것은 아닙니다. 중국 연계 사이버 스파이 행위자들만 사용하는 전술도 아닙니다. 그러나 최근 몇 년 동안 ORB 네트워크를 활용하는 사례가 많아지고 있고, 이는 기업 보안에 심각한 위협이 되고 있습니다. 맨디언트는 중국 연계 사이버 스파이들이 더 목적 지향적이고 은밀하며 효과적인 운영을 위해 이러한 전술을 사용하는 것을 추적해 왔습니다. 그들은 은밀하게 행동하는 것 외에도, 방어자의 비용과 분석 부담을 증가시키고자 합니다.
중국은 ORB 네트워크와 같은 첨단 전술과 도구 개발에 투자해 해킹 성공률을 높이고 있습니다. 지난 15년간 APT 추적에 집중한 것처럼, 이제는 ORB 네트워크 추적에 전술적인 노력을 기울여야 합니다. 맨디언트는 기업 방어자들이 ORB라는 새로운 도전에 맞서고 이를 극복할 수 있는 역량을 제공할 준비가 되어 있습니다.
