미국 중앙정보국(CIA) '하이브(Hive)' 악성코드 공격 통제 무기 플랫폼 분석 보고서

최근 미국 국가 컴퓨터 바이러스 비상 대응 센터의 "벌집"(하이브) 악성코드 공격 제어 무기 플랫폼(이하 "하이브 플랫폼")은 미국에 본사를 둔 보안 업체인미국 중앙 정보국, CIA정보 운영 센터 엔지니어링 개발 그룹 (EDG, 이하 "미국 CIA 엔지니어링 개발 그룹"이라고 함) 및 유명한 미국 군사 산업 노스 롭 그루먼 (NOC)의 디지털 혁신 센터 (DDI)는 미국 중앙 정보국 (CIA)이 XETRON 공동 연구 개발에 따라 유명한 미국 군사 산업 노스 롭 그루먼 (NOC)을 전담합니다. 벌집 플랫폼은 "경량"네트워크 무기에 속하며, 전술적 목적은 대상 네트워크에 숨겨진 발판을 구축하고, 은밀하게 악성 코드 프로그램을 넣도록 지시하고, 백그라운드 제어를위한 다양한 악성 코드 프로그램을위한 플랫폼 사용, 후속 조치를 계속하기 위해 "무거운"전달을 계속하는 것입니다. 조건을 만들기위한 무기 네트워크 공격. 미국 중앙 정보국 (CIA)은이 무기 플랫폼을 사용하여 공격 대상의 특성에 따라 다양한 운영 체제에 적합한 악성 코드 프로그램을 사용자 정의하고, 피해 부대의 정보 시스템의 국경 라우터 및 내부 호스트에 대한 공격을 수행하고, 다양한 유형의 트로이 목마와 백도어를 이식하고, 원격 제어를 실현하고, 전 세계 정보 시스템에 대한 비차별적인 사이버 공격을 수행합니다.

I. 기술적 분석

(i) 공격 대상

미국 중앙정보국(CIA)의 다중 플랫폼 표적에 대한 공격 요구 사항을 충족하기 위해 R&D 부서는 다양한 CPU 아키텍처 및 운영 체제에 대해 유사한 기능을 갖춘 허니콤 플랫폼의 적응 버전을 개발했습니다. 현재 상황에 따르면 하이브 플랫폼은 ARMv7, x86, PowerPC, MIPS 및 기타 주류 CPU 아키텍처를 지원할 수 있으며, Windows, Unix, Linux, Solaris 및 기타 범용 운영 체제뿐만 아니라 RouterOS(MikroTik에서 개발한 네트워크 장비용 특수 운영 체제의 일종)와 같은 특수 운영 체제도 지원합니다.

(ii) 시스템 구성 요소

하이브 플랫폼은 주로 마스터 제어 터미널(hclient), 원격 제어 플랫폼(컷스루트), 발전기(하이브-패처), 제어 터미널 프로그램(하이브) 등으로 구성된 C/S 아키텍처를 채택합니다. CIA의 엔지니어링 개발팀은 또한 다층 스프링보드 서버와 연동하여 다수의 감염된 사이버 스파이 작전을 제어하기 위해 "허니콤"(벌집)이라는 관리 시스템을 특별히 개발했습니다. 관련 사이버 첩보 작전을 수행하기 위해 CIA 엔지니어링 개발 그룹은 다계층 스프링보드 서버와 함께 허니콤 플랫폼에 감염된 수많은 피해 호스트를 원격으로 은밀하게 제어하고 데이터를 수집할 수 있는 '허니콤'(벌집)이라는 관리 시스템도 특별히 개발했습니다.

(iii) 공격 시나리오 재현

국가 컴퓨터 바이러스 긴급 대응 센터(NCERT)는 하이브 플랫폼 샘플의 기술적 세부 사항을 심층 분석하고 공개 채널에서 얻은 관련 정보와 결합하여 기본적으로 하이브 플랫폼의 일반적인 공격 시나리오 재현을 완료했습니다.

1, 제너레이터(하이브 패처)를 사용하여 제어 측에서 맞춤형 악성 코드 프로그램을 생성하는 방법

미국 중앙정보국(CIA) 공격자는 먼저 제너레이터(하이브 패처)를 사용하여 작업 요구 사항과 표적 플랫폼의 특성에 따라 이식할 맞춤형 제어 엔드 악성 코드 프로그램(즉, 하이브)을 생성합니다. 하이브 프로그램을 생성하기 전에 실제 작업 요구 사항에 따라 파라미터를 구성할 수 있습니다(표 1 참조).

미국 중앙정보국(CIA) 공격자가 위의 매개변수 구성을 완료하면 제너레이터(하이브 패처)가 새로운 제어된 엔드 임플란트를 생성할 수 있습니다(그림 1 참조).

공격 대상의 유형에서 볼 때 미국 중앙 정보국 (CIA)이 특히 MikroTik 시리즈 네트워크 장비에 대해 우려하고 있다는 점에 주목할 가치가 있습니다. MikroTik 회사의 네트워크 라우터 및 기타 장비는 세계에서 높은 인기를 얻고 있으며, 특히 많은 타사 라우터 공급 업체, 미국 중앙 정보국 (CIA)에서 사용하는 자체 연구 RouterOS 운영 체제를 사용하고 있습니다. 이 운영 체제를 공격하는 미국 중앙정보국(CIA)의 능력으로 인한 잠재적 위험은 헤아릴 수 없을 정도입니다.

2. 서버 측 악성 코드 프로그램을 대상 시스템에 이식하기

미국 중앙정보국(CIA)에서 "Chimay-Red"라는 MikroTik 라우터 익스플로잇 툴을 개발하여 자세한 사용 지침을 마련했습니다. 이 익스플로잇은 MikroTikRouterOS 6.38.4 이하의 스택 충돌 원격 코드 실행 취약점을 악용하여 대상 시스템을 원격으로 제어합니다. 익스플로잇 도구 사용 지침은 표 2에 나와 있습니다.

미국 정부 내부자들의 공개에 따르면, 미국 중앙정보국(CIA)과 미국 국가안보국(NSA)은 미국 국방부와 같은 산하에 있으며, 외부적으로는사이버 전쟁NSA의 특정 침입 작전실(TAO)은 미국 중앙정보국(CIA)의 스파이웨어 심기 작전을 효율적으로 지원할 수 있는 'Acid Fox'(FoxAcid)와 같은 취약점 공격 무기 플랫폼과 체계적인 사이버 공격 도구를 보유하고 있습니다.

3. 서버 측 악성 코드 프로그램을 깨우고 명령 및 제어를 수행합니다.

서버 측 악성 코드 프로그램이 표적 시스템에 이식되어 정상적으로 작동한 후에는 조용히 잠복한 상태로 패킷의 트리거 특성으로 제어되는 정보 시스템 네트워크 통신 트래픽을 실시간으로 청취하면서 "깨어나기"를 기다립니다. 미국 중앙정보국(CIA) 공격자는 클라이언트를 사용하여 서버 측에 "코드 단어"를 전송하여 잠복해 있는 악성 코드 프로그램과 관련 지침의 실행을 "깨울" 수 있습니다. CIA 공격자들은 클라이언트를 조작하기 위해 "컷스루"라는 콘솔 프로그램을 사용했습니다. 이 프로그램의 주요 명령 매개변수는 표 3에 나와 있습니다.

마스터와 제어 대상 단말기 간의 연결이 설정되면 해당 제어 명령을 실행할 수 있습니다(그림 2 참조).

침입 탐지를 피하기 위해 마스터 터미널은 '비밀 단어'를 전송하여 악성 코드 프로그램의 제어 대상 단말을 깨운 다음, 네트워크 모니터를 혼란스럽게 하여 기술적 모니터링 수단을 우회하기 위해 TLS를 통해 HTTP를 모방하여 암호화된 통신 채널을 설정합니다(그림 3 참조).

이 시점에서 마스터 터미널은 제어되는 터미널의 악성 코드 프로그램을 완전히 제어할 수 있게 되며, 은밀한 상태에서 언제든지 다른 악성 로드를 전달하거나 후속 침투 및 탈취 작업을 수행할 수 있습니다.

(iv) 커버링 조치

사이버 첩보 활동의 은밀성을 더욱 강화하기 위해 미국 중앙정보국(CIA)은 벌집 플랫폼과 관련된 네트워크 인프라를 전 세계에 세심하게 배치했습니다. 모니터링된 데이터를 분석한 결과, 미국 중앙정보국(CIA)은 마스터와 제어 대상 사이에 다층 스프링보드 서버와 VPN 채널을 설치했으며, 이러한 서버는 캐나다, 프랑스, 독일, 말레이시아, 터키 등 국가에 광범위하게 분산되어 있어 자신의 소재를 효과적으로 숨길 수 있어 피해자가 Beehive 플랫폼에서 사이버 공격을 받은 사실을 발견하더라도 기술 분석을 수행하고 공격의 출처를 추적하기 매우 어렵습니다.

II. 작동 방식

위키리크스가 공개한 미국 중앙정보국(CIA)의 내부 정보와 미국 국가컴퓨터바이러스긴급대응센터(NCERT)의 기술 분석 결과를 종합하면 다음과 같이 하이브 플랫폼의 작동 방식을 명확히 파악할 수 있습니다:

(i) 개발 프로세스 및 개발자

하이브 플랫폼은 최소 2010년 10월부터 2015년 10월까지 지속된 프로젝트 주기에 따라 미국 중앙정보국(CIA)의 엔지니어링 개발 그룹(EDG)의 주도하에 개발되었으며, 소프트웨어 버전은 최소 2.9.1 이상이고 최소 2011년부터 마이크로틱 시스템 디바이스 및 관련 운영 체제에 대한 원격 공격을 지원해 왔습니다. 참여 개발자는 마이크 러셀, 잭 맥마흔, 제레미 하스, 브라이언 티몬스 등이 있습니다(그림 4 참조).

또한 하이브 플랫폼 프로젝트에는 미국의 대표적인 군수 산업 기업인 노스롭 그루먼의 자회사인 제트론이 작성한 프로젝트 코드(그림 5 참조)를 비롯해 파트너 기관의 R&D 결과물이 통합되어 있습니다.

1972년에 설립된 XETRON은 1986년 웨스팅하우스, 1996년 노스롭 그루먼에 인수되었으며, 현재 미국 오하이오주 신시내티 교외에 본사를 두고 있으며, 공개 정보에 따르면 2013년 기준 68,000명의 직원을 두고 있습니다.XETRON은 오랫동안 미국 중앙정보국(CIA)의 계약업체로 군용 센서 및 통신 시스템을 포함한 제품군을 공급하고 있습니다. 제트론은 오랫동안 미국 중앙정보국(CIA)의 계약업체로 군용 센서, 통신 시스템 및 다양한 제품군을 공급해 왔습니다.사이버 보안소프트웨어 등 위키리크스가 공개한 정보에 따르면, 제트론은 하이브 플랫폼 프로젝트에 참여한 것 외에도 미국 중앙정보국(CIA)에 시스코 라우터 해킹 도구인 "시나몬"을 제공했습니다. 노스롭 그루먼은 또한 XETRON이 정부 고객의 운영을 위한 기술 지원을 제공하고 암호화, 침입 탐지, 리버스 엔지니어링 및 침투 공격에 강점을 가진 '컴퓨터 네트워크 운영'에 특화되어 있으며 신시내티 대학교와 데이턴 대학교에서 사이버 보안 인재를 채용한 오랜 역사를 가지고 있다고 설명합니다. 제트론은 신시내티 대학교와 데이턴 대학교에서 사이버 보안 인재를 채용한 오랜 역사를 가지고 있습니다.

(ii) 하이브 플랫폼 네트워크 인프라

연구원들은 허니콤 스크립트에서 미국 중앙정보국(CIA)이 허니콤 플랫폼의 제어 측에서 악성 코드 프로그램을 제어하는 데 사용했던 서버의 IP 주소를 다수 발견했습니다(표 4 참조). 이 서버들은 유럽, 미주, 아시아 지역에 위치해 있습니다(그림 6 참조).

III. 요약

위의 분석에 따르면 미국 중앙정보국(CIA)이 사이버 공격을 시작한 것은해커공격 무기 체계는 체계화, 규모화, 추적 불가능, 인공 지능화되었습니다. 그중에서도 벌집 플랫폼은 CIA 공격 무기의 '선봉장'이자 '특공대'로서 목표물의 방어를 뚫는 중요한 기능을 맡았으며, 광범위한 적응성과 강력한 돌파 능력으로 전 세계 인터넷 사용자들에게 큰 경고를 보냈습니다.

(i) 미국 중앙정보국(CIA)은 강력하고 완벽한 사이버 공격 무기를 보유하고 있습니다.

하이브 플랫폼은 미국 중앙정보국(CIA)의 역할을 합니다.주요 전투 네트워크 무기이 장비의 강력한 시스템 기능, 고급 설계 개념, 미래 지향적인 전투 아이디어는 네트워크 공격 분야에서 CIA의 뛰어난 역량을 충분히 반영합니다. 이 네트워크 무기는 원격 스캔, 취약점 악용, 숨겨진 이식, 스니핑 및 탈취, 파일 추출, 인트라넷 침투, 시스템 파괴 등 네트워크 공격 활동의 전체 사슬을 통합된 명령 및 제어 기능으로 포괄하며 기본적으로 인공 지능을 실현했습니다. 미국 중앙정보국(CIA)은 하이브 플랫폼에 의존하여 전 세계 인터넷을 포괄하는 스파이 정보 시스템을 구축하고 전 세계 고위급 대상과 사회 저명 인사에 대한 무차별적인 네트워크 도청을 수행하고 있습니다.

(ii) 미국 중앙정보국(CIA)은 전 세계 고가치 표적에 대한 무차별적인 공격 통제 및 통신 도용에 관여해 왔습니다.

미국 중앙 정보국 (CIA)의 해킹 및 사이버 스파이 활동의 대상은 러시아,이란, 중국, 일본, 한국 등 세계 모든 국가의 정부, 정당, 비정부기구, 국제기구 및 중요한 군사 목표는 물론 모든 국가의 고위 인사, 공인, 사회 유명 인사 및 기술자, 교육, 과학 연구, 통신 및 의료 기관을 포함하며 피해 국가의 대량의 비밀 정보를 훔치고 수많은 피해 국가의 중요 정보 인프라에 대한 통제권을 획득했습니다. 또한 피해 국가의 중요 정보 인프라에 대한 통제권을 획득하고 전 세계 모든 국가 국민의 개인 사생활을 대량으로 확보하여 미국의 패권적 지위 유지에 도움이 되고 있습니다.

(iii) 글로벌 인터넷과 전 세계 주요 정보 인프라는 미국 정보 기관의 '정보 스테이션'이 되었습니다.

최근 중국 사이버 보안 기관에서 미국 국가안보국(NSA)의 "전기 커튼 액션" "APT-C-40" "NOPEN"을 공개합니다. "양자"네트워크 공격 무기 및 미국 중앙 정보국 (CIA) "하이브"무기 플랫폼의 노출 기존 국제 인터넷 백본 장비 및 전 세계 중요 정보, 인프라 (서버, 스위칭 장비, 전송 장비 및 인터넷 터미널), 기존 인터넷 백본 장비 및 전 세계 중요 정보, 인프라 (서버, 스위칭 장비, 전송 장비 및 인터넷 터미널) 분석의 기술 세부 정보. (서버, 스위칭 장비, 전송 장비 및 인터넷 단말기), 미국 인터넷 회사가 제공하는 하드웨어, 운영 체제 및 응용 프로그램 소프트웨어를 포함하는 한 제로 데이 (0 일) 또는 모든 종류의 백도어 절차 (백도어)를 포함 할 가능성이 매우 높으며, 기밀 정보 도난, 전체 글로벌 인터넷의 활동, "진실한"쇼에 저장된 모든 데이터가 미국 정보국 (CIA) "Beehive"무기 플랫폼에 대한 공격의 표적이 될 가능성이 매우 높습니다. 글로벌 인터넷에 저장된 모든 활동과 데이터는 미국 정보 기관 앞에 "진실하게" 표시되어 글로벌 목표물에 대한 공격과 파괴의 "핸들"과 "재료"가됩니다.

(iv) 미국 정보기관의 사이버 공격 무기가 인공 지능화되었습니다.

하이브 플랫폼의 전형적인 미국 군사 제품은 모듈화되고 고도로 표준화되어 있으며 확장성이 뛰어나 미국이 이미 사이버 무기 분야에서 "산학연의 통합"을 달성했음을 나타냅니다. 이러한 무기는 대상 네트워크의 하드웨어 및 소프트웨어 구성과 백도어 및 허점의 존재 여부에 따라 자동으로 네트워크 공격을 시작할 수 있으며, 인공 지능 기술에 의존하여 자동으로 권한을 높이고, 자동으로 기밀을 훔치고, 자동으로 흔적을 숨기고, 자동으로 데이터를 반환하여 공격 대상에 대한 완전 자동화 된 제어를 실현할 수 있습니다.

국가 컴퓨터 바이러스 긴급 대응 센터(NCERT)는 인터넷 사용자에게 미국 정보 기관의 사이버 공격이 임박하고 실제적인 위협이며, 미국의 '유전자'를 가진 컴퓨터 하드웨어 및 소프트웨어 장비에 대한 공격과 기밀 도난이 뒤따른다는 사실을 상기시킵니다. 미국 해커의 공격을 피하는 가장 쉬운 방법은 자율적이고 제어 가능한 현지화된 장비를 채택하는 것입니다.