중국 해커들이 미국 통신 네트워크를 표적으로 삼았습니다.

Earth Estries로 알려진 중국 관련 해커들은 GHOSTSPIDER라는 새로운 백도어를 사용하여 12개국 이상의 통신 회사를 표적으로 삼았습니다. 이 그룹은 통신, 기술, 컨설팅, 화학, 운송 등의 산업 분야뿐만 아니라 정부 기관 및 비영리 조직의 20개 이상의 기관을 성공적으로 손상시켰습니다. 아프가니스탄, 브라질, 에스와티니, 인도, 인도네시아, 말레이시아, 파키스탄, 필리핀, 남아프리카공화국, 대만, 태국, 미국, 베트남 등의 국가에서 피해자가 확인되었습니다.

Earth Estries는 최소 2020년부터 활동해 왔으며 다양한 악성 코드 계열을 사용하여 전 세계적으로 통신 및 정부 기관을 침해했습니다. 워싱턴 포스트(The Washington Post)에 따르면 Earth Estries는 미국에서만 12개 이상의 통신 회사에 침투한 것으로 추정되며, 미국 정부가 신고한 피해자 수는 최대 150명에 이릅니다. 이 그룹은 Ivanti Connect Secure, Fortinet FortiClient EMS, Sophos Firewall 및 Microsoft Exchange Server와 같은 제품의 보안 결함을 이용하여 대상 네트워크에 대한 초기 액세스 권한을 얻습니다.

Earth Estries의 글로벌 스파이 활동

내부로 들어가면 Deed RAT, Demodex, GHOSTSPIDER와 같은 맞춤형 악성코드를 배포하여 장기적인 사이버 스파이 활동을 수행합니다. Earth Estries는 명확한 업무 분담과 별도의 인프라 팀이 명령 및 제어 인프라를 관리하는 등 잘 조직되어 있습니다.

GHOSTSPIDER는 TLS(전송 계층 보안)로 보호되는 맞춤형 프로토콜을 사용하여 공격자가 제어하는 ​​인프라와 통신하는 정교한 다중 모듈식 임플란트입니다. 기능을 보완하기 위해 필요에 따라 추가 모듈을 가져올 수 있습니다. 최근 몇 년 동안 통신 회사가 특히 표적이 되었는데, 이는 중국 사이버 프로그램의 상당한 성숙을 의미합니다.

이러한 공격은 고립된 사고에서 대규모 데이터 수집과 관리형 서비스 제공업체(MSP), 인터넷 서비스 제공업체(ISP) 및 플랫폼 제공업체를 대상으로 하는 장기적인 표적으로 발전했습니다.