중국과의 연계가 의심되는 미확인 해킹 조직이 최근 SCADA 시스템에 대한 정보를 탈취하는 사이버 스파이 활동의 일환으로 동남아시아 주요 인프라를 표적으로 삼고 있다.

시만텍의 최근 보고서에 따르면 이 캠페인은 2020년 11월부터 올해 3월까지 진해오디었으며 수자원, 전력, 통신 및 방산 관련 업체를 대상으로 진행된 것으로 전해진다. 공격자는 악성 앱 배포, 하이재킹 및 구글 크롬 플러그인 취약점 악용 등과 같은 다양한 기술을 사용했다. 일단 시스템을 성공적으로 손상시키면 공격자는 자격 증명 도용을 진행한 다음 공격 대상의 SCADA 시스템에 대한 정보를 수집한다. (SCADA : 산업 조직이 산업 프로세스를 로컬 또는 원격으로 제어하고 실시간 데이터를 모니터링 및 수집할 수 있도록 하는 소프트웨어 및 하드웨어로 구성)

시만텍은 공격과 관련 피해 시스템에서 발견된 특정 근거들을 바탕으로 이 캠페인의 배후가 중국에 기반을 둔 공격자일 수 있다는 징후를 발견했다고 밝혔으나 이와 관련한 상세 내용은 제공하지 않고 있다. 또한 공격자가 감염된 컴퓨터에서 데이터를 빼내는 것을 관찰하지 못했다고 언급하면서도 SCADA 시스템 설계에 관여했을 수 있음을 나타내는 도구가 있다고 밝혔다.

한 편, 중국의 사이버 스파이 활동은 최근 몇 달 간 여러 희생자를 목표로 삼았다. 여기에는 기업, 정치인, 정부 관리, 법 집행 기관, 정치 활동가 및 중국 정부의 이해 관계가 있는 반체제 인사에 대한 공격이 포함된다. 지난주에는 보안업체 Cyberreason이 고객의 민감한 통신 정보 수집을 위해 동남아시아 전역의 통신 네트워크 제공업체를 공격한 중국의 APT 조직을 바견하기도 했다.

뿐만 아니라 최근 열린 美 상원 청문회에서 상원의원들은 중국이 인공지능, 반도체와 같은 기술 개발을 지배하고자 스파이 활동을 통해 IP를 탈취하고 있다고 언급했다. 뿐만 아니라 해당 기술을 전세계를 대상으로 하는 스파이 활동에 활용할 수 있다고도 경고했다.

[출처 : 시만텍 / 8.7.]