i-SOON leaks : An overview of Chinese data leakage

김채현 -

개요

지난 2월 16일 트위터 이용자 @azakasekai_에 의해 i-SOON(안쉰, Anxun Information Technology Co., Ltd., 四川安洵信息技术有限公司)의 GitHub(https://github.com/I-S00N/I-S00N, 현재 접근 불가)에 중국 공안부(MPS) 유출 자료로 추정되는 데이터가 발견되었다.

유출 자료 내에는 피해지 관련 정보 외에도 다수 공격 도구 및 이들에 대한 가이드 문서, 내부자 간 메신저 대화 내역, 영업 관련 자료 등이 포함되어 있다.

이러한 점에 비추어 볼 때 본 건 정보 유출자는 급여 및 사내 정책, 회사 내외의 어려운 상황 등에 불만을 품은 내부자인 것으로 추정된다.

i-SOON 유출 관련 Github 접근 화면

i-SOON 사(社) 개요

i-SOON은 2015년 3월에 설립된 상하이 i-SOON Information Technology(2010년 설립)의 자회사로, 이번 유출 사건과 가장 관련이 높은 곳은 사이버 공격을 담당하는 Sichuan i-SOON(쓰촨성 청두시 소재)으로 판단된다.

이들은 대외적으로 정보기술 보안 컨설팅 업체로 위험 평가, 방화벽/침투 테스트, APT 공격 예방 및 프로그램 감사 서비스 등을 제공하는 중국 공안부 계약 업체로 알려져 있었다.

이들은 같은 도시의 회사인 청두404(Chengdu404)에게 고소당한 후 몇몇 사이버보안 연구자들의 감시 대상에 포함되어 있던 상태로, 미국 법무부에 따르면 청두404는 중국 공산당의 후원을 받는 APT41로 알려진 사이버 스파이 그룹과 연결된 곳이다.

i-SOON의 CEO인 우하이보(吴海波, Shutdown)는 1997년에 설립된 중국 최초의 핵티비스트 그룹인 녹색병단(绿色兵团) 출신이자 1세대 레드 해커(红客)의 일원이다.

이번 유출을 통해 파악된 이들의 작업 대상은 앞서 언급한 외국 정부기관 및 항공사, 통신사 등 기업 외에도 중국 내부의 신장 소수민족, 온라인 도박업체 등이 해당하며, 업무 분야는 해외 반체제 인사 감시 및 외국 정부 해킹, 소셜미디어에서의 언론 통제 및 주도 등의 영역을 포함한다.

i-SOON 사무실(https://blog.bushidotoken.net/2024/02/lessons-from-isoon-leaks.html) 및 정문(https://www.rfa.org/english/news/china/china-isoon-hackers-02222024141108.html)

i-SOON 단체 사진 (https://internet2-0.com/i-soon-leak/)

주요 도구 내역

위에서 언급한 바와 같이 유출된 자료 내에는 다수 공격 도구 및 이들에 대한 가이드 문서가 포함되어 있다. 이를 통해 파악 가능한 내용은 아래와 같다.

    • 주요 도구
도구명 비고
이메일 분석 지능 의사결정 플랫폼
(Email Analysis Intelligence Decision-Making Platform)		 • 대량 이메일 데이터 분석을 위해 설계된 도구
• 테라바이트 규모의 이메일 데이터 처리, 키워드 검색을 위한 색인 생성
• 모든 언어에서 자동 이메일 번역 수행 및 기계학습(ML) 알고리즘, 광학 문자 인식(OCR) 및 기타 방법론을 사용하여 대량 이메일 데이터 분석을 가능하게 하는 시스템 아키텍처 포함
• 플랫폼을 통해 MPS 운영자가 대상의 받은 편지함을 다시 만들고 훔친 이메일을 읽을 수 있음
자동 침투 테스트 플랫폼
(Automated Penetration Test Platform)		 • 타겟 자동 침투 테스트 시나리오 프레임워크
• 여러 취약점 템플릿을 통합하여 다양한 종류의 네트워크 장비 및 호스트에서 자동화된 방식으로 침투 테스트 수행가능
• 정보탐지, 취약점 검증, 취약점 익스플로잇, 침투 공격 및 보고서 작성 등의 기능 지원
트위터 여론 지도 및 통제 시스템
(Twitter Public Opinion Guidance and Control System)		 • 트위터 내에서의 반체제 인사 모니터링 및 여론 조작을 위한 도구
• 트위터의 2단계 인증(2FA) 보안 제어를 우회하여 대상 계정을 제어할 수 있는 원클릭 익스플로잇 활용
• 계정에 대한 액세스 권한 획득 및 IP주소, IP위치, 장치 유형 및 브라우저 버전 등의 정보 수집 가능
    • 기타 도구
      • Xiaomi 배터리 팩으로 위장한 "WiFi 근접 공격 시스템"용 맞춤형 하드웨어
      • Windows, Linux, macOS, iOS 및 Android용 맞춤형 원격 액세스 소프트웨어
      • 이메일 추출 및 분석을 위한 "Microsoft Email Encryption" 플랫폼 
      • 만리 방화벽 우회 라우터(Great Firewall Bypass Router)
      • 정보 수집을 위한 OSINT 데이터 플랫폼(OSINT data platform for Intelligence collection)

(1) Windows 원격 접근 도구 설명 (2) 샤오미 보조배터리로 위장한 와이파이 해킹 도구 (3) 이메일 분석 지능 의사결정 플랫폼 기능 설명

(1) 노트북으로 위장한 개인용 툴박스 (2) 트위터 여론 지도 및 통제 시스템 구동 화면 (3) 통합 공격 플랫폼 구동 화면


확인 가능한 IoC

  • 주요 키워드 및 IoC
    • i-SOON과 연관된 OSINT 정보를 통해 확인된 주요 IoC 목록
IoC 연관 키워드 연관 C2
Chengdu404 Elemental Taurus(APT41), Threadstone, Winnti -
APT41 PlugX, ShadowPad 118.31.3[.]116
PIOSON CARP mailnotes[.]online 74.120.172[.]10
JACKPOT PANDA - 8.218.67[.]52

i-SOON 관련 IoC 개요도 https://blog.bushidotoken.net/2024/02/lessons-from-isoon-leaks.html / https://twitter.com/OSINTindustries/status/1759722450126864465?s=20

IoC lists by Dancho Danchev
IoC lists by Dancho Danchev.txt
578 KB
download-circle
    • 유출 자료 내에서 확인 가능한 IoC 목록
IoC 연관 키워드 비고
Caesar Dilxat Kaysar318@gmail[.]com 페이스북 계정명 및 주소
ethnet@loxinfo.co[.]th - -
mukdawan.s@cmu.ac[.]thh - 태국 치앙마이대학교 계정
mikrotik 0day - 공격 활용 추정 취약점
@TGtardie - 트위터(X)계정
576514445@qq[.]com - 공격 활용 추정 계정
  • 협력/거래 상대방
    • 아래의 사천안순계약대장(四川安洵合同台账) 파일 및 사천안순구매계약대장(四川安洵采购合同台账) 파일의 내용에 의하면 i-SOON과 중국 내 국가기관 및 기업 등의 거래 관계는 2016년부터 2022년까지 이어진 것으로 판단됨
    • 대표적인 거래 상대방 목록
      • 成都捷通易科技有限公司 / Chengdu Jietongyi Technology Co., Ltd.
      • 深圳市公安局网络警察支队 / 심천시 공안국 사이버 경찰 연대
      • 云南省公安厅 / 윈난성 공안청
      • 云南省59号单位 / 윈난성 59호 단위
      • 骏达海南实业有限公司 / Junda Hainan Industrial Co., Ltd.
      • 北京启明星辰信息安全技术有限公司 / Venustech Information Technology Group Co., Ltd.
      • 中国工程物理研究院计算机应用研究院 / 중국공정물리연구원 컴퓨터응용연구원
      • 上海碳泽信息科技有限公司 / Shanghai Carbonze Information Technology Co., Ltd.
      • 九三八单位 / 938 단위

계약 관련 장부

  • 보안 요원 명단

요원 명단 원본 및 번역본

피해지 정보

유출 데이터에 의하면 중국과 인접한 아시아 국가 외에도 유럽 및 아프리카의 수많은 국가 또는 민간 기업, 국제 연합(ASEAN, NATO 등) 등이 보유한 내부 자료가 중국 공안부에 의해 수집된 것으로 추정된다.

이러한 피해지는 유출 문건을 통해 확인된 i-SOON 내부에서 관리하는 확정 피해지 및 기타 유출 데이터 등을 통해 파악할 수 있는 잠정 피해지의 두 종류로 구분 할 수 있다.

확정 피해지의 경우 이곳에서 자세한 목록을 확인할 수 있다.

잠정 피해지는 아래와 같다.

유출 데이터 내 잠정 피해지 언급 이미지

단체명 국가 기관 비고
ASEAN Department of the Ministry of Foreign Affairs 국제기구 국가연합 아세안(외무부)
NATO 국제기구 국가연합 북대서양 조약기구
ASEAN Department of the Ministry of National Defense 국제기구 국가연합 아세안(국방부)
Amnesty International 국제기구 NGO 국제 앰네스티
Prime Minister’s Office of Guinea 기니 정부기관 총리실
South African Special Forces 남아공 국가기관
Taipei Makichi Public Taxation Bureau 대만 정부기관 국세청
Romanian Ministry of Finance 루마니아 정부기관 재무부
Bureau of Administrative Modernization 말레이시아 정부기관 행정현대화 및 관리기획부
MyGovUc 말레이시아 공공기관 공공 포털
Parliament 몽골 국가기관 국가최고의회
Myanmar Operator 미얀마 민간 통신사
Vietnam Airlines 베트남 민간 항공사
Fourth Military Region of the Ministry of National Defense 베트남 국가기관 국방부(4군구)
Secretariat of European Affairs of North Macedonia 북마케도니아 정부기관 유럽사무국
North Macedonia Public Tax Service 북마케도니아 정부기관 국세청
KAM Air 아프가니스탄 민간 항공사
Ethiopian bank 에티오피아 국영 국립은행
British Treasury 영국 정부기관 재무성
DFID(Department for International Development) 영국 정부기관 국제 개발부
British Home Office 영국 정부기관 내무부
Department for Business, Energy & Industrial Strategy 영국 정부기관 사업, 에너지, 산업 전략부
Department of Health and Social Care 영국 정부기관 보건사회복지부
UK National Crime Agency 영국 정부기관 국립범죄청
HMRC 영국 정부기관 국세청
Chathamhouse 영국 연구기관 왕립 국제문제연구소
RAND Institute Europe 영국 비영리단체
연구기관		 랜드 유럽
MPT Communications 영국 민간 통신사
UK Department for Environment, Food and Rural Affairs 영국 정부기관 환경식품농촌부
Department for Brexit 영국 정부기관 유럽연합 탈퇴부
UK Department of Health and Social Care 영국 정부기관 보건사회복지부
British Ministry of Justice 영국 국가기관 법무부
British Institute for International Strategic Studies IISS 영국 연구기관 국제 전략 연구소
Center for Foreign Policy Studies(FPC) 영국 연구기관 외교정책연구센터
Human Rights Watch 영국 비영리단체 국제인권감시기구
British Diplomacy 영국 정부기관 외교부
Indian Employees Provident Fund 인도 정부기관 근로자 공제 기금
BSNL(Bharat Sanchar Nigam Limited) 인도 민간 통신사
Air India 인도 국영 항공사
Reliance Industries Limited Operation(RIL) 인도 민간 그룹
Provident Fund(EPFO) 인도 정부기관 재무부 산하
Haiding Group 중국 민간 제조업
Inner Mongolia 중국 파악불가 파악불가
TTE enrgetika 체코 파악불가 파악불가
ALTEL 카자흐스탄 민간 통신사
Kazakhtelecom 카자흐스탄 민간 통신사
IDNET 카자흐스탄 민간 방송/통신
IDTV 카자흐스탄 민간 방송/통신
Kazakhstan Defense Mail Services 카자흐스탄 국가기관 파악불가
Kazakhstan Kcell Telecom 카자흐스탄 민간 통신사
Railway of Thailand 태국 공공기관 철도청
Ministry of Digital Economy and Society 태국 정부기관 디지털경제사회부
Army Headquaters 태국 국가기관
Ministry of Foreign Affairs ASEAN 태국 국가연합 외무부
Ministry of Defense Navy 태국 국가기관 해군
(State) Thailand Railways 태국 국영 철도회사
Ministry of Defense Royal Thai Army Headquarters 태국 국가기관 국방부 본부
Ministry of Defense Royal Thai Army Communications Department 태국 국가기관 국방부
Association of Researchers from the Ministry of Higher Education, Science, Research and Innovation 태국 정부기관 고등교육과학혁신부
Ministry of Agriculture and Cooperatives 태국 정부기관 농업협동조합부
Ministry of Defense Royal Thai Army Education Department 태국 국가기관 파악불가
Army Headquaters 파악불가 국가기관
Ministry of Defense Navy 파악불가 국가기관
Ministry of Foreign Affair 파키스탄 정부기관 외무부
Papua New Guinea Prime Minister’s Office 파푸아뉴기니 정부기관 국무총리실
Papua New Guinea National Executive Council 파푸아뉴기니 정부기관 국가집행위원회(내각)
Palestinian Prime Minister’s Office 팔레스타인 정부기관 국무총리실
Peruvian Armed Forces 페루 국가기관
Philippine Navy 필리핀 국가기관
South Korean Diplomacy 한국 정부기관 외교부
세종연구원 한국 연구기관 세종연구원
Immigration Department 홍콩 정부기관 입경 사무처

특히 유출 자료 내 국내 정부 기관 및 기업 등에서 탈취된 자료가 존재하는 것으로 확인되었다.

    • 한국 세종연구원
      • 서울 소재 과기부 산하 세종연구원과 대전세종연구원 중 어느 기관인지 파악 불가
한국 세종연구원
    • 인구통계 자료 및 LG U+ 자료
인구통계 자료 및 LG U+ 자료
    • 외교부

채팅 내역 중 한국 외교부 관련 파일 공유 내역(원문, 영어 번역본)

마치며

이번 데이터 유출 사건으로 인하여 그간 중국에 의한 타국에 대한 해킹 공격 및 정보 탈취가 중국 공산당 및 보안국 등과 연관되어 있다는 심증이 실제인 것으로 확인된 계기가 되었다.

i-SOON의 활동 영역은 매우 광범위하며 OSINT 정보를 통해 이와 연계된 공격 그룹 및 APT 캠페인 등의 식별이 가능해 조금 더 시간을 투자해 유출된 자료를 면밀히 살펴 공개된 IoC 등과 맞춰보는 작업을 진행할 가치가 있다고 생각된다.