개요
지난 2월 16일 트위터 이용자 @azakasekai_에 의해 i-SOON(안쉰, Anxun Information Technology Co., Ltd., 四川安洵信息技术有限公司)의 GitHub(https://github.com/I-S00N/I-S00N, 현재 접근 불가)에 중국 공안부(MPS) 유출 자료로 추정되는 데이터가 발견되었다.
유출 자료 내에는 피해지 관련 정보 외에도 다수 공격 도구 및 이들에 대한 가이드 문서, 내부자 간 메신저 대화 내역, 영업 관련 자료 등이 포함되어 있다.
이러한 점에 비추어 볼 때 본 건 정보 유출자는 급여 및 사내 정책, 회사 내외의 어려운 상황 등에 불만을 품은 내부자인 것으로 추정된다.
i-SOON 사(社) 개요
i-SOON은 2015년 3월에 설립된 상하이 i-SOON Information Technology(2010년 설립)의 자회사로, 이번 유출 사건과 가장 관련이 높은 곳은 사이버 공격을 담당하는 Sichuan i-SOON(쓰촨성 청두시 소재)으로 판단된다.
이들은 대외적으로 정보기술 보안 컨설팅 업체로 위험 평가, 방화벽/침투 테스트, APT 공격 예방 및 프로그램 감사 서비스 등을 제공하는 중국 공안부 계약 업체로 알려져 있었다.
이들은 같은 도시의 회사인 청두404(Chengdu404)에게 고소당한 후 몇몇 사이버보안 연구자들의 감시 대상에 포함되어 있던 상태로, 미국 법무부에 따르면 청두404는 중국 공산당의 후원을 받는 APT41로 알려진 사이버 스파이 그룹과 연결된 곳이다.
i-SOON의 CEO인 우하이보(吴海波, Shutdown)는 1997년에 설립된 중국 최초의 핵티비스트 그룹인 녹색병단(绿色兵团) 출신이자 1세대 레드 해커(红客)의 일원이다.
이번 유출을 통해 파악된 이들의 작업 대상은 앞서 언급한 외국 정부기관 및 항공사, 통신사 등 기업 외에도 중국 내부의 신장 소수민족, 온라인 도박업체 등이 해당하며, 업무 분야는 해외 반체제 인사 감시 및 외국 정부 해킹, 소셜미디어에서의 언론 통제 및 주도 등의 영역을 포함한다.
i-SOON 사무실(https://blog.bushidotoken.net/2024/02/lessons-from-isoon-leaks.html) 및 정문(https://www.rfa.org/english/news/china/china-isoon-hackers-02222024141108.html)
주요 도구 내역
위에서 언급한 바와 같이 유출된 자료 내에는 다수 공격 도구 및 이들에 대한 가이드 문서가 포함되어 있다. 이를 통해 파악 가능한 내용은 아래와 같다.
- 주요 도구
| 도구명 | 비고 |
|---|---|
| 이메일 분석 지능 의사결정 플랫폼 (Email Analysis Intelligence Decision-Making Platform) |
• 대량 이메일 데이터 분석을 위해 설계된 도구 • 테라바이트 규모의 이메일 데이터 처리, 키워드 검색을 위한 색인 생성 • 모든 언어에서 자동 이메일 번역 수행 및 기계학습(ML) 알고리즘, 광학 문자 인식(OCR) 및 기타 방법론을 사용하여 대량 이메일 데이터 분석을 가능하게 하는 시스템 아키텍처 포함 • 플랫폼을 통해 MPS 운영자가 대상의 받은 편지함을 다시 만들고 훔친 이메일을 읽을 수 있음 |
| 자동 침투 테스트 플랫폼 (Automated Penetration Test Platform) |
• 타겟 자동 침투 테스트 시나리오 프레임워크 • 여러 취약점 템플릿을 통합하여 다양한 종류의 네트워크 장비 및 호스트에서 자동화된 방식으로 침투 테스트 수행가능 • 정보탐지, 취약점 검증, 취약점 익스플로잇, 침투 공격 및 보고서 작성 등의 기능 지원 |
| 트위터 여론 지도 및 통제 시스템 (Twitter Public Opinion Guidance and Control System) |
• 트위터 내에서의 반체제 인사 모니터링 및 여론 조작을 위한 도구 • 트위터의 2단계 인증(2FA) 보안 제어를 우회하여 대상 계정을 제어할 수 있는 원클릭 익스플로잇 활용 • 계정에 대한 액세스 권한 획득 및 IP주소, IP위치, 장치 유형 및 브라우저 버전 등의 정보 수집 가능 |
- 기타 도구
- Xiaomi 배터리 팩으로 위장한 "WiFi 근접 공격 시스템"용 맞춤형 하드웨어
- Windows, Linux, macOS, iOS 및 Android용 맞춤형 원격 액세스 소프트웨어
- 이메일 추출 및 분석을 위한 "Microsoft Email Encryption" 플랫폼
- 만리 방화벽 우회 라우터(Great Firewall Bypass Router)
- 정보 수집을 위한 OSINT 데이터 플랫폼(OSINT data platform for Intelligence collection)
(1) Windows 원격 접근 도구 설명 (2) 샤오미 보조배터리로 위장한 와이파이 해킹 도구 (3) 이메일 분석 지능 의사결정 플랫폼 기능 설명
(1) 노트북으로 위장한 개인용 툴박스 (2) 트위터 여론 지도 및 통제 시스템 구동 화면 (3) 통합 공격 플랫폼 구동 화면
확인 가능한 IoC
- 주요 키워드 및 IoC
- i-SOON과 연관된 OSINT 정보를 통해 확인된 주요 IoC 목록
| IoC | 연관 키워드 | 연관 C2 |
|---|---|---|
| Chengdu404 | Elemental Taurus(APT41), Threadstone, Winnti | - |
| APT41 | PlugX, ShadowPad | 118.31.3[.]116 |
| PIOSON CARP | mailnotes[.]online | 74.120.172[.]10 |
| JACKPOT PANDA | - | 8.218.67[.]52 |
i-SOON 관련 IoC 개요도 https://blog.bushidotoken.net/2024/02/lessons-from-isoon-leaks.html / https://twitter.com/OSINTindustries/status/1759722450126864465?s=20
- 유출 자료 내에서 확인 가능한 IoC 목록
| IoC | 연관 키워드 | 비고 |
|---|---|---|
| Caesar Dilxat | Kaysar318@gmail[.]com | 페이스북 계정명 및 주소 |
| ethnet@loxinfo.co[.]th | - | - |
| mukdawan.s@cmu.ac[.]thh | - | 태국 치앙마이대학교 계정 |
| mikrotik 0day | - | 공격 활용 추정 취약점 |
| @TGtardie | - | 트위터(X)계정 |
| 576514445@qq[.]com | - | 공격 활용 추정 계정 |
- 협력/거래 상대방
- 아래의 사천안순계약대장(四川安洵合同台账) 파일 및 사천안순구매계약대장(四川安洵采购合同台账) 파일의 내용에 의하면 i-SOON과 중국 내 국가기관 및 기업 등의 거래 관계는 2016년부터 2022년까지 이어진 것으로 판단됨
- 대표적인 거래 상대방 목록
- 成都捷通易科技有限公司 / Chengdu Jietongyi Technology Co., Ltd.
- 深圳市公安局网络警察支队 / 심천시 공안국 사이버 경찰 연대
- 云南省公安厅 / 윈난성 공안청
- 云南省59号单位 / 윈난성 59호 단위
- 骏达海南实业有限公司 / Junda Hainan Industrial Co., Ltd.
- 北京启明星辰信息安全技术有限公司 / Venustech Information Technology Group Co., Ltd.
- 中国工程物理研究院计算机应用研究院 / 중국공정물리연구원 컴퓨터응용연구원
- 上海碳泽信息科技有限公司 / Shanghai Carbonze Information Technology Co., Ltd.
- 九三八单位 / 938 단위
계약 관련 장부
- 보안 요원 명단
요원 명단 원본 및 번역본
피해지 정보
유출 데이터에 의하면 중국과 인접한 아시아 국가 외에도 유럽 및 아프리카의 수많은 국가 또는 민간 기업, 국제 연합(ASEAN, NATO 등) 등이 보유한 내부 자료가 중국 공안부에 의해 수집된 것으로 추정된다.
이러한 피해지는 유출 문건을 통해 확인된 i-SOON 내부에서 관리하는 확정 피해지 및 기타 유출 데이터 등을 통해 파악할 수 있는 잠정 피해지의 두 종류로 구분 할 수 있다.
확정 피해지의 경우 이곳에서 자세한 목록을 확인할 수 있다.
잠정 피해지는 아래와 같다.
유출 데이터 내 잠정 피해지 언급 이미지
| 단체명 | 국가 | 기관 | 비고 |
|---|---|---|---|
| ASEAN Department of the Ministry of Foreign Affairs | 국제기구 | 국가연합 | 아세안(외무부) |
| NATO | 국제기구 | 국가연합 | 북대서양 조약기구 |
| ASEAN Department of the Ministry of National Defense | 국제기구 | 국가연합 | 아세안(국방부) |
| Amnesty International | 국제기구 | NGO | 국제 앰네스티 |
| Prime Minister’s Office of Guinea | 기니 | 정부기관 | 총리실 |
| South African Special Forces | 남아공 | 국가기관 | 군 |
| Taipei Makichi Public Taxation Bureau | 대만 | 정부기관 | 국세청 |
| Romanian Ministry of Finance | 루마니아 | 정부기관 | 재무부 |
| Bureau of Administrative Modernization | 말레이시아 | 정부기관 | 행정현대화 및 관리기획부 |
| MyGovUc | 말레이시아 | 공공기관 | 공공 포털 |
| Parliament | 몽골 | 국가기관 | 국가최고의회 |
| Myanmar Operator | 미얀마 | 민간 | 통신사 |
| Vietnam Airlines | 베트남 | 민간 | 항공사 |
| Fourth Military Region of the Ministry of National Defense | 베트남 | 국가기관 | 국방부(4군구) |
| Secretariat of European Affairs of North Macedonia | 북마케도니아 | 정부기관 | 유럽사무국 |
| North Macedonia Public Tax Service | 북마케도니아 | 정부기관 | 국세청 |
| KAM Air | 아프가니스탄 | 민간 | 항공사 |
| Ethiopian bank | 에티오피아 | 국영 | 국립은행 |
| British Treasury | 영국 | 정부기관 | 재무성 |
| DFID(Department for International Development) | 영국 | 정부기관 | 국제 개발부 |
| British Home Office | 영국 | 정부기관 | 내무부 |
| Department for Business, Energy & Industrial Strategy | 영국 | 정부기관 | 사업, 에너지, 산업 전략부 |
| Department of Health and Social Care | 영국 | 정부기관 | 보건사회복지부 |
| UK National Crime Agency | 영국 | 정부기관 | 국립범죄청 |
| HMRC | 영국 | 정부기관 | 국세청 |
| Chathamhouse | 영국 | 연구기관 | 왕립 국제문제연구소 |
| RAND Institute Europe | 영국 | 비영리단체 연구기관 |
랜드 유럽 |
| MPT Communications | 영국 | 민간 | 통신사 |
| UK Department for Environment, Food and Rural Affairs | 영국 | 정부기관 | 환경식품농촌부 |
| Department for Brexit | 영국 | 정부기관 | 유럽연합 탈퇴부 |
| UK Department of Health and Social Care | 영국 | 정부기관 | 보건사회복지부 |
| British Ministry of Justice | 영국 | 국가기관 | 법무부 |
| British Institute for International Strategic Studies IISS | 영국 | 연구기관 | 국제 전략 연구소 |
| Center for Foreign Policy Studies(FPC) | 영국 | 연구기관 | 외교정책연구센터 |
| Human Rights Watch | 영국 | 비영리단체 | 국제인권감시기구 |
| British Diplomacy | 영국 | 정부기관 | 외교부 |
| Indian Employees Provident Fund | 인도 | 정부기관 | 근로자 공제 기금 |
| BSNL(Bharat Sanchar Nigam Limited) | 인도 | 민간 | 통신사 |
| Air India | 인도 | 국영 | 항공사 |
| Reliance Industries Limited Operation(RIL) | 인도 | 민간 | 그룹 |
| Provident Fund(EPFO) | 인도 | 정부기관 | 재무부 산하 |
| Haiding Group | 중국 | 민간 | 제조업 |
| Inner Mongolia | 중국 | 파악불가 | 파악불가 |
| TTE enrgetika | 체코 | 파악불가 | 파악불가 |
| ALTEL | 카자흐스탄 | 민간 | 통신사 |
| Kazakhtelecom | 카자흐스탄 | 민간 | 통신사 |
| IDNET | 카자흐스탄 | 민간 | 방송/통신 |
| IDTV | 카자흐스탄 | 민간 | 방송/통신 |
| Kazakhstan Defense Mail Services | 카자흐스탄 | 국가기관 | 파악불가 |
| Kazakhstan Kcell Telecom | 카자흐스탄 | 민간 | 통신사 |
| Railway of Thailand | 태국 | 공공기관 | 철도청 |
| Ministry of Digital Economy and Society | 태국 | 정부기관 | 디지털경제사회부 |
| Army Headquaters | 태국 | 국가기관 | 군 |
| Ministry of Foreign Affairs ASEAN | 태국 | 국가연합 | 외무부 |
| Ministry of Defense Navy | 태국 | 국가기관 | 해군 |
| (State) Thailand Railways | 태국 | 국영 | 철도회사 |
| Ministry of Defense Royal Thai Army Headquarters | 태국 | 국가기관 | 국방부 본부 |
| Ministry of Defense Royal Thai Army Communications Department | 태국 | 국가기관 | 국방부 |
| Association of Researchers from the Ministry of Higher Education, Science, Research and Innovation | 태국 | 정부기관 | 고등교육과학혁신부 |
| Ministry of Agriculture and Cooperatives | 태국 | 정부기관 | 농업협동조합부 |
| Ministry of Defense Royal Thai Army Education Department | 태국 | 국가기관 | 파악불가 |
| Army Headquaters | 파악불가 | 국가기관 | 군 |
| Ministry of Defense Navy | 파악불가 | 국가기관 | 군 |
| Ministry of Foreign Affair | 파키스탄 | 정부기관 | 외무부 |
| Papua New Guinea Prime Minister’s Office | 파푸아뉴기니 | 정부기관 | 국무총리실 |
| Papua New Guinea National Executive Council | 파푸아뉴기니 | 정부기관 | 국가집행위원회(내각) |
| Palestinian Prime Minister’s Office | 팔레스타인 | 정부기관 | 국무총리실 |
| Peruvian Armed Forces | 페루 | 국가기관 | 군 |
| Philippine Navy | 필리핀 | 국가기관 | 군 |
| South Korean Diplomacy | 한국 | 정부기관 | 외교부 |
| 세종연구원 | 한국 | 연구기관 | 세종연구원 |
| Immigration Department | 홍콩 | 정부기관 | 입경 사무처 |
특히 유출 자료 내 국내 정부 기관 및 기업 등에서 탈취된 자료가 존재하는 것으로 확인되었다.
- 한국 세종연구원
- 서울 소재 과기부 산하 세종연구원과 대전세종연구원 중 어느 기관인지 파악 불가
- 인구통계 자료 및 LG U+ 자료
- 외교부
채팅 내역 중 한국 외교부 관련 파일 공유 내역(원문, 영어 번역본)
마치며
이번 데이터 유출 사건으로 인하여 그간 중국에 의한 타국에 대한 해킹 공격 및 정보 탈취가 중국 공산당 및 보안국 등과 연관되어 있다는 심증이 실제인 것으로 확인된 계기가 되었다.
i-SOON의 활동 영역은 매우 광범위하며 OSINT 정보를 통해 이와 연계된 공격 그룹 및 APT 캠페인 등의 식별이 가능해 조금 더 시간을 투자해 유출된 자료를 면밀히 살펴 공개된 IoC 등과 맞춰보는 작업을 진행할 가치가 있다고 생각된다.
