인도와 중국 간 국경 분쟁이 고조되는 가운데 사이버 보안 연구원들은 중국 국가 후원 그룹이 국가 전력망을 포함한 인도의 중요 인프라에 대한 공동 작전을 전개했다는 내용을 공개했다.
이 공격은 총 12개 기관을 표적으로 삼았으며 그 중 10개 기관은 발전 및 송전 관련 기관들이다.
레코디드 퓨처는 "전력 공급과 수요의 균형을 조정하고 전력망 운영을 담당하는 5개의 RLDC 중 4개를 포함해 10개의 개별 인도 전력 부문 조직이 인도 중요 인프라에 대한 공동 캠페인의 목표로 확인되었다. 다른 표적은 2개의 인도 항구를 포함한다"고 지난달 28일 전했다.
이 침입을 RedEcho라는 새 그룹으로 명명한 Insikt Group의 수사관은 위협행위자가 배포한 악성 코드가 중국 APT 41과 Tonto 팀과 강력한 인프라를 공유하고 피해자가 중복된다고 말했다.
레코디드 퓨처는 양국의 교착 상태로 양측의 스파이 활동이 증가했다는 점에 주목하면서 중국의 공격은 이전에 APT 41에 기인하고 이후 다른 중국 후원 행위자들 사이에서 공유된 ShadowPad라는 모듈식 Windows 백도어를 포함하는 AXIOMATICASYMPTOTE로 추적하는 인프라 사용과 관련 있다고 말했다.
또한 이 보고서는 작년 10월 뭄바이를 마비시킨 정전과 분쟁 사이의 연관성에 대한 의문도 제기한다.
인도 서부 마하라슈트라주 사이버 부서에서 수행한 초기 조사는 파드하 소재 주 로드 디스패치 센터에서 확인된 불특정 악성코드 조각에 대한 공격을 추적했지만, 연구원들은 "정전과 불특정 악성코드 변종 발견 사이의 연관성은 여전히 입증되지 않았다"고 말했다.
그들은 "그러나 이번 공개는 인도 로드 디스패치 센터의 조정된 표적을 시사하는 추가 증거를 제공한다"고 덧붙였다.
흥미롭게도 이러한 사이버 공격은 100개 이상의 하이테크 및 온라인 게임 회사를 표적으로 삼는 10년 동안의 해킹을 주도한 Chengdu 404 Network Technology Company라는 네트워크 기술 회사의 소재지이기도 한 Chengdu에서 시작된 것으로 드러났다.
하지만 중국만이 아니다. 5월 충돌로 이어진 몇 주 동안, 인도의 정치 이익을 지원하기 위해 활동하는 Sidewinder라는 국가 후원그룹은 COVID나 네팔, 파키스탄, 인도, 중국 간의 영토 분쟁과 관련된 유인책을 이용한 스피어 피싱으로 중국군과 정부 기관을 지목한 것으로 알려졌다.
운영 방식 외에도 이 발견은 수백만 명의 사람들이 사용하는 필수 서비스에 대한 액세스를 차단하려는 적들에게 중요한 인프라가 왜 계속해서 표적이 되고 있는지를 상기시켜준다.
연구원들은 "침입은 2020년 중국 위협 활동 그룹이 AXIOMATICASYMPTOTE 인프라를 사용하여 인도 에너지 섹터를 표적으로 했던 이전 공격과 겹친다. 따라서 인도의 전력 시스템을 목표로 하는 것은 인도의 에너지 인프라에 접근하려는 지속적인 전략적 의도를 나타내는 것일 수 있다"고 결론 내렸다.
◈2021 대한민국 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최
K-CTI 2021, 국내 최고 권위의 정보보안 인텔리전스 정보 공유의 장
-날짜: 2021년 3월 9일(화) / 온라인 개최
-참석대상: 공공·기업 보안실무자 및 보안 분야 관계자
-교육이수: 보안교육 7시간 이수 가능(CISO/CPO/CISSP 등도 가능)
-사전등록: 클릭
★정보보안 대표 미디어 데일리시큐!★
