중국 해커들이 마이크로소프트 익스체인지 결함을 이용해 통화 기록을 훔친 것으로 알려졌다

3월 초, 마이크로소프트는 자사의 마이크로소프트 익스체인지 소프트웨어의 결함이 하피늄이라고 알려진 중국 해킹 그룹에 의해 악용되고 있다고 밝혔습니다. 이 그룹은 법률 회사, 방위 계약자, 비정부 기구, 심지어 감염병 연구자들을 포함한 여러 조직을 대상으로 한 공격을 수행해 왔다고 밝혔습니다. 취약한 시스템은 이러한 조직들이 사용하는 이메일 플랫폼을 포함합니다.

공격이 발생하면 해커들은 웹 쉘로 알려진 도구를 남깁니다. 웹 쉘은 인터넷을 통해 쉽게 접근할 수 있는 최고로 보호된 해킹 도구입니다. 이것은 패치되지 않은 Exchange 서버를 가장 취약하게 만듭니다. 이는 웹 쉘을 통해 해커가 피해자의 컴퓨터에 제한 없는 원격 접근을 할 수 있기 때문입니다. 수십만 대의 Microsoft Exchange 서버가 이런 방식으로 침해되었다는 보고가 나왔습니다. 각각의 침해된 서버는 Exchange를 관리 설정의 일부로 사용하는 조직을 대표합니다.

하프늄은 동남아시아의 한 통신 회사에 대한 일련의 공격에 대해서도 비난을 받았습니다. 이 경우, 해커들은 마이크로소프트 익스체인지 해킹이 발견되기도 전인 2020년 말부터 이름이 밝혀지지 않은 회사의 통화 기록을 목표로 삼아 도난당했습니다.

해킹 그룹은 2017년부터 활동을 시작해 지금까지 탐지를 피해왔습니다. 2019년 보고서에 따르면, 이 그룹은 아프리카, 중동, 유럽, 아시아의 10개 통신 회사의 보안을 침해했습니다. 현재 이 그룹은 중국과 연계된 다른 두 해킹 팀과 합류하여 같은 종류의 공격을 수행하고 있습니다.

발견

사이버 보안 회사 Volexity는 처음으로 침해를 감지한 곳으로 인정받고 있습니다. 이 회사는 2021년 초에 Microsoft Exchange의 서버에서 대량의 데이터 전송을 발견했습니다. 불행히도, 이는 미국의 국회 의사당 폭동에 세계가 주목하고 있던 시기와 겹쳤습니다. Volexity의 대표인 Steven Adair는 해커들이 앞으로 몇 달 안에 그들의 행동을 가속화할 것이라고 언급했습니다. Microsoft가 제공한 보안 업그레이드를 시스템에 적용하고 필요한 변경을 할 수 없는 조직들이 가장 취약할 것입니다.

“지금이 얼마나 나쁜지 모르겠지만, 더 나빠질 것 같아요,” 아데어가 말했다. “이것은 그들에게 무언가를 착취할 수 있는 제한된 기회를 줍니다. 만약 그들이 뒷문을 남겨두었다면, 패치가 그것을 고칠 수 없을 거예요.”

마이크로소프트의 대응

신속한 대응으로, 3월 2일에 Microsoft는 해커들이 2013년부터 2019년까지의 Exchange 서버 버전에서 악용하고 있던 취약점을 해결하기 위한 보안 업데이트를 발표했습니다.

회사는 미국의 사이버보안 및 인프라 보안국(CISA)과 협력하여 고객에게 향후 방향에 대한 지침을 제공하고 있다고 더 밝혔습니다. “최선의 보호 방법은 가능한 한 빨리 모든 영향을 받는 시스템에 업데이트를 적용하는 것입니다.”라고 회사 대변인이 말했습니다.

그러나 Microsoft는 이러한 공격이 Exchange Online 서비스를 사용하는 고객에게 영향을 미치지 않았다고 덧붙였습니다. 그럼에도 불구하고, 침해된 대부분의 조직들이 내부 Exchange 서버뿐만 아니라 어떤 형태의 Microsoft Outlook Web Access (OWA)를 사용했다는 것은 확실합니다.

중국으로의 연결

7월에 백악관은 중국이 마이크로소프트 익스체인지 결함을 이용해 공격을 지속하는 것에 대해 공식적으로 비난했습니다. 미국은 중국 당국에게 “국제 관계 규범을 준수하고 자국 영토가 악의적인 사이버 활동에 사용되지 않도록 하며, 상황을 탐지, 조사, 해결하기 위해 적절하고 가능한 모든 조치를 취할 것”을 촉구하는 성명을 발표했습니다.

Cybereason, 사이버 기술 회사의 목표 연구 책임자인 Assaf Dahan은 해커들의 중국과의 연관성을 밝혀냈습니다. Dahan에 따르면, 공격의 성격과 전술 및 목표의 중복은 해커들이 같은 출처 – 중국 정부를 가지고 있음을 제안합니다. 더욱이, 목표들은 모두 중국 당국에게 관심이 있는 것들이었으며, 가장 중요하게는 정치적 반대자들이었습니다.

그러나 공격을 중국에 연결할 구체적인 방법은 없습니다. 이는 통신 업체에 대한 공격을 특정 개인이나 정부에 추적하기 어렵기 때문입니다. 공격이 개인 기준으로 이루어지는 경우, 예를 들어 피해자의 장치에 스파이웨어가 내장된 경우에는 훨씬 쉽습니다. 통신 제공업체를 공격하는 것은 또 다른 이점이 있습니다: 그것은 최종 목표의 정체성을 모호하게 합니다. 통신 사용자는 여러 국가에 걸쳐 많은 개인들로부터 옵니다. 특정 최종 사용자가 대상으로 삼지 않기 때문에, 법 집행 기관은 공격을 탐지하거나 방지하기 어려울 것입니다.

다한에 따르면, 마이크로소프트 익스체인지 공격의 주요 대상은 동남아시아 국가들이었지만, 다른 지역의 사람들도 목표가 되었을 가능성이 있다고 합니다.

최고 수준의 보안 전문가는 중국에서 온 공격의 성격이 어리둥절하다고 언급했습니다. 보안 전문가는 이러한 움직임이 무모하고 중국의 특성에 어긋난다고 밝혔습니다.

중국 당국은 예상대로 공격에 대한 책임을 부인했습니다.