중국의 Salt Typhoon 해커, 미국의 제재에도 불구하고 통신 회사 침해 지속
보안 연구원들에 따르면 중국 정부와 연계된 해킹 그룹인 Salt Typhoon이 미국의 제재에도 불구하고 계속해서 통신 사업자를 공격하고 있다고 해요.
Salt Typhoon, RedMike로 활동
위협 인텔리전스 회사인 Recorded Future는 TechCrunch와 공유한 보고서에서 Salt Typhoon이 “RedMike”라는 이름으로 2024년 12월부터 2025년 1월 사이에 5개의 통신 회사를 침해한 것을 확인했다고 밝혔습니다.
과거 미국 통신망 침투 이력
Salt Typhoon은 작년 9월에 AT&T와 Verizon을 포함한 여러 미국 전화 및 인터넷 대기업에 침투하여 미국 고위 정부 관리와 정치인의 개인 통신에 접근한 사실이 드러나면서 큰 주목을 받았어요.
Salt Typhoon은 또한 법 집행 기관이 법원의 허가를 받아 고객 데이터를 수집하는 데 사용하는 도구에 접근하여 미국 감시 대상인 중국인의 신원과 같은 민감한 데이터에 접근했을 가능성도 있습니다.
최근 피해 사례
Recorded Future는 Salt Typhoon의 최신 피해자 이름을 밝히지는 않았지만, 여기에는 유명한 영국 통신 사업자의 미국 기반 계열사, 미국의 인터넷 서비스 제공업체, 이탈리아, 남아프리카 공화국, 태국의 통신 회사가 포함된다고 합니다.
Recorded Future에 따르면 해커들은 또한 미얀마 기반 통신 사업자인 Mytel이 운영하는 여러 인프라 자산에 대한 정찰 활동(시스템에 대한 정보를 은밀히 발견하고 수집하는 행위)을 수행했습니다.
공격 방식
이러한 공격을 수행하기 위해 Salt Typhoon은 CVE-20232-0198 및 CVE-2023-20273으로 추적되는 두 가지 취약점을 악용하여 Cisco IOS XE 소프트웨어를 실행하는 패치되지 않은 Cisco 장치를 손상시켰습니다. Recorded Future는 이 해킹 그룹이 전 세계적으로 1,000개 이상의 Cisco 장치를 손상시키려고 시도했으며, 특히 통신 사업자 네트워크와 관련된 장치에 집중했다고 밝혔습니다.
대학도 공격 대상
Recorded Future는 또한 Salt Typhoon이 캘리포니아 대학교와 유타 공과대학교를 포함한 대학과 관련된 장치를 표적으로 삼는 것을 관찰했다고 밝혔습니다. 연구원들은 이 해킹 그룹이 “통신, 엔지니어링 및 기술과 관련된 분야의 연구에 접근하기 위해 이러한 대학을 표적으로 삼았을 가능성이 있다”고 말했습니다.
미국의 제재
미국 정부는 이 그룹과 관련된 회사에 제재를 가했습니다. 지난 1월 미국 재무부는 최근 쓰촨 주신허 네트워크 기술(Sichuan Juxinhe Network Technology)이라는 중국 기반 사이버 보안 회사를 제재했는데, 이 회사는 Salt Typhoon과 직접적인 관련이 있다고 합니다.
Recorded Future의 연구원들은 이러한 조치에도 불구하고 Salt Typhoon이 미국 및 다른 지역의 통신 사업자를 계속 표적으로 삼을 것으로 예상하고 있습니다.