APT 사이버 공격을 막는 데 ID 관리가 중요한 이유

Dark Reading News Desk는 Black Hat USA 2023에서 CrowdStrike의 대적 작전 책임자인 Adam Meyers를 인터뷰했습니다. 뉴스 데스크 클립을 확인하세요. 유튜브 (아래 전문).

다크 리딩, 베키 브라켄: 안녕하세요 여러분. Black Hat 2023의 Dark Reading 뉴스 데스크에 다시 오신 것을 환영합니다. 저는 Dark Reading의 편집자 Becky Bracken이고 CrowdStrike의 대적 작전 책임자인 Adam Meyers를 환영하기 위해 왔습니다. 어둠의 독서 뉴스 데스크로.

우리와 함께 해주셔서 감사합니다, 아담. 감사합니다. 작년에는 모두가 매우 집중했습니다. 러시아의 APT 그룹, 그들은 무엇이었는가 우크라이나에서 하는 일, 그리고 사이버 보안 커뮤니티가 어떻게 모여서 그들을 도울 수 있는지. 그 이후로 땅에 꽤 큰 변화가 있었던 것 같습니다. XNUMX년 전과 비교하여 현재 러시아에서 무슨 일이 일어나고 있는지 업데이트해 주실 수 있나요?

아담 마이어스: 그래서 당연히 이에 대한 우려도 크다고 생각합니다. 확실히 저는 갈등이 시작된 후에도 일반적으로 나타나는 혼란이 사라지지 않는다는 것을 우리가 본 것 같습니다. 하지만 (우리가) 러시아에 무슨 일이 벌어지고 있는지에 집중하고 있는 동안 중국은 대규모 데이터 수집 노력 그 주위에.

DR : 모두가 여기를 지켜보고 있는 동안 그들(관련 APT 그룹의 중국 정부)은 러시아의 침공을 엄호로 이용하고 있었습니까? 그 전에도 그런 일을 하고 있었나요?

오전: 그건 좋은 질문이야. 모두가 러시아와 우크라이나에서 일어나고 있는 일에 너무 집중하고 있기 때문에 그런 종류의 표지를 제공한 것이 효과가 있었다고 생각합니다. 그래서 그것은 모두가 중국을 부르거나 그곳에 있는 일을 하는 꾸준한 북소리로부터 주의를 산만하게 했습니다.

DR : 그래서 우리는 러시아의 동기를 알고 있습니다. 는 어때 중국 APT 그룹? 그들의 동기는 무엇입니까? 그들은 무엇을 하려고 하는 걸까요?

오전: 그러니 규모가 크죠 수집 플랫폼. 중국에는 다양한 주요 프로그램이 있습니다. 그들은 공격적인 개발 요구로 중국 정부가 지시한 XNUMX개년 계획과 같은 것을 가지고 있습니다. 그들은 “중국 제 2025" 이니셔티브를 갖고 있으며 벨트 및 도로 이니셔티브. 그래서 그들은 중국 경제를 발전시키기 위해 경제를 성장시키기 위해 이러한 다양한 프로그램을 모두 구축했습니다.

그들이 목표로 삼은 주요 사항 중 일부는 의료와 같은 것들에 관한 것입니다. 중국인이 증가하는 중산층과 예방적 건강 관리 문제(우선순위), 당뇨병, 암 치료 등을 다루는 것은 이번이 처음입니다. 그리고 그들은 서구에서 많은 것을 조달하고 있습니다. 그들(중국인)은 그곳에 그것을 짓고 싶어합니다. 그들은 자국 시장에 서비스를 제공하고 이를 주변 지역, 즉 더 넓은 아시아 태평양 지역으로 성장시킬 수 있도록 국내와 동등한 제품을 갖고 싶어합니다. 그리고 그렇게 함으로써 추가적인 영향력을 구축하게 됩니다. 그들은 중국 제품, 무역 솔루션 및 중국 프로그램을 추진하기 시작할 수 있는 국가들과 이러한 유대 관계를 구축합니다. 그래서 그들이 UN에서 좋아하지 않는 문제(대만 등)에 대해 압력을 가할 때 그들은 “야, 너 진짜 이렇게 투표해야 돼. 감사하겠습니다.”

DR : 그래서 그것은 정말로 정보 수집 및 지적재산권 이득 그들을 위해. 그러면 우리는 앞으로 몇 년 동안 무엇을 보게 될까요? 그들은 이 정보를 운용할 예정입니까?

오전: 그들이 AI로 무엇을 해왔는지 살펴보면 바로 지금 그런 일이 일어나고 있습니다. 그들이 대부분의 칩을 외부에서 조달하는 의료 및 다양한 칩 제조 분야에서 무엇을 해왔는지 살펴보십시오. 그들은 그렇게 하고 싶어하지 않습니다.

그들은 사람들이 자신들을 세계의 작업장으로 여기며 정말로 혁신가가 되기를 원한다고 생각합니다. 그리고 그들이 그렇게 하기를 원하는 방식은 중국 APT 그룹 그리고 사이버 작전, 사이버 간첩, 현재의 최첨단 기술을 (도용) 통해 도약 (경쟁 국가)하고, 그 위에 복제하고 혁신을 시도할 수 있습니다.

DR : 흥미로운. 좋습니다. 중국에서 출발하여 이제 북한으로 넘어가면 그들은 사업을 하고 있습니다. 그들의 APT 그룹은 돈을 버는 사람들입니다. 그렇죠? 그것이 그들이 원하는 일입니다.

오전: 응. 그래서 세 조각이 있습니다. 첫째, 그들은 확실히 외교, 군사, 정치 분야에 서비스를 제공합니다. 첩보 수집 과정하지만 그들도 그렇습니다 지적 재산권.

그들은 국가경제개발전략(NEDS)이라는 프로그램을 시작했습니다. 그리고 이를 통해 에너지, 광업, 농업, 중장비 등 북한 경제와 관련된 모든 것에 초점을 맞춘 XNUMX가지 핵심 영역이 있습니다.

북한 주민들의 비용과 생활 방식을 인상해야 합니다. 인구의 30%만이 안정적인 전력을 보유하고 있기 때문에 신재생에너지나 에너지를 얻는 방법 등은 데이터의 일종입니다. 북한 APT 그룹 를 찾고 있습니다).

그리고 수익 창출. 그들은 국제 SWIFT 시스템과 국제 금융 경제로부터 단절되었습니다. 이제 그들은 수익을 창출할 수 있는 방법을 찾아야 합니다. 그들은 정권과 가족을 위해 수입을 창출하는 제 XNUMX 사무실이라는 것을 가지고 있습니다.

그래서 그들(제XNUMX직)은 마약, 인신매매, 사이버 범죄 등 많은 일을 하고 있습니다. 그래서 북한 APT 그룹 암호화폐 기업뿐만 아니라 전통적인 금융 기업을 표적으로 삼는 데 매우 효과적이었습니다. 그리고 우리는 그것을 보았습니다. 어제 발표된 우리 보고서의 내용 중 하나는 작년에 두 번째로 가장 많이 표적이 된 업종이 통신업을 대체한 금융업이었다는 것을 보여줍니다. 그래서 영향을 미치고 있습니다.

DR : 그들은 엄청난 돈을 벌고 있습니다. APT 활동의 또 다른 주요 기둥은 이란에 있다는 점을 중심으로 살펴보겠습니다. 사이에 무슨 일이 일어나고 있나요? 이란 APT 그룹?

오전: 그래서 우리는 많은 경우 가짜 인물이 그들의 (이란) 적을 표적으로 삼아 이스라엘과 미국, 즉 일종의 서방 국가를 공격하는 것을 보았습니다. APT 그룹 이란의 지원을 받아 이러한 가짜 페르소나를 만들고 랜섬웨어를 배포하지만 반드시 돈을 모으는 데 신경 쓰지 않기 때문에 랜섬웨어는 아닙니다. 그들 (이란 APT 그룹) 단지 혼란을 야기하고 민감한 정보를 수집하고 싶을 뿐입니다. 이 모든 것은 사람들이 자신들이 표적으로 삼고 있는 정치 조직이나 기업에 대한 믿음이나 신념을 잃게 만듭니다. 따라서 이는 랜섬웨어로 가장한 파괴적인 캠페인입니다. 이란 위협 행위자.

DR : 이러한 많은 공격에 동기를 부여하는 것은 매우 까다로울 것입니다. 어떻게 합니까? 내 말은, 그것이 단지 혼란을 위한 전선일 뿐이고 돈을 버는 작전이 아니라는 것을 어떻게 알 수 있습니까?

오전: 좋은 질문이지만 실제로 무슨 일이 일어나는지 살펴보면 실제로 그렇게 어렵지는 않습니다. — 무슨 일이 일어나는지 — 만약 그들이 범죄자이고 금전적인 동기가 있다면 그들은 돈을 지불할 것입니다. 그게 목표죠?

만약 그들이 돈 버는 데 별로 관심이 없는 것 같다면, NotPetya 예를 들어, 그것은 우리에게 매우 분명합니다. 인프라를 목표로 삼은 다음 동기 자체를 살펴보겠습니다.

DR : 그리고 일반적으로 APT 그룹들 사이에서 어떤 공격이 일어나는지 뒤 주르? 그들은 지금 무엇에 정말로 의지하고 있는 걸까요?

오전: 그래서 우리는 많은 것을 보았습니다. APT 그룹 네트워크형 가전제품을 추구합니다. 다양한 클라우드 시스템 및 네트워크 어플라이언스에 노출된 장치(일반적으로 최신 엔드포인트 보안 스택이 탑재되지 않은 장치)에 대한 공격이 훨씬 더 많이 발생했습니다.

APT 그룹만이 아닙니다. 우리는 랜섬웨어 그룹에서 이것을 엄청나게 봅니다. 따라서 공격의 80%는 합법적인 자격 증명을 사용하여 침입합니다. 그들은 육지에서 생활하며 그곳에서 측면으로 이동합니다. 그런 다음 가능하다면 대부분의 경우 DVR 도구를 지원하지 않는 하이퍼바이저에 랜섬웨어를 배포하려고 시도한 다음 해당 도구에서 실행 중인 모든 서버를 잠글 수 있습니다. 하이퍼 바이저 그리고 조직을 폐업시키세요.

DR : 안타깝게도 시간이 없습니다. 이 문제에 대해 좀 더 오랫동안 논의하고 싶은데, 간단히 예상을 말씀해 주시겠어요? 지금으로부터 12개월 후에 우리가 APT 공간에서 무엇을 보게 될 것이라고 생각하시나요?

오전: 공간은 꽤 일관되었습니다. 나는 그들(APT 그룹)이 취약성 환경을 계속 발전시키는 것을 보게 될 것이라고 생각합니다.

예를 들어 중국을 보면 사실상 모든 취약점 조사는 국가안전보위부를 거쳐야 합니다. 거기에는 정보 수집에 초점이 맞춰져 있습니다. 어떤 경우에는 이것이 주된 동기입니다. 방해도 있고.

그리고 예측으로서 모두가 생각해야 할 것은 신원 관리, 우리가 보고 있는 위협 때문입니다. 이러한 침해에는 신원이 관련됩니다. 배우가 초기 발판에서 환경으로 이동하여 다른 시스템으로 이동하는 데 걸리는 시간을 측정하는 "브레이크아웃 시간"이라는 것이 있습니다. 우리가 본 가장 빠른 시간(중단 시간)은 XNUMX분이었습니다. 그래서 이 배우들은 더 빠르게 움직이고 있습니다. 가장 큰 교훈은 그들(APT 그룹)이 합법적인 자격 증명을 사용하여 합법적인 사용자로 들어온다는 것입니다. 그리고 이를 방지하기 위해서는 신원을 보호하는 것이 중요합니다. 엔드포인트뿐만이 아닙니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 자동차 / EV, 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 차트프라임. ChartPrime으로 트레이딩 게임을 향상시키십시오. 여기에서 액세스하십시오.
• BlockOffsets. 환경 오프셋 소유권 현대화. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/edge/why-identity-management-key-stopping-apt-cyberattacks