2017 년 XNUMX 월, 신용보고 기업인 Equifax 깨끗 해졌다: 해킹을 당했으며 143 억 147.9 만 명의 미국 시민의 민감한 개인 정보가 손상되었습니다. 회사는 나중에 XNUMX 억 XNUMX 만 건으로 수정했습니다. 이름, 생년월일, 사회 보장 번호는 모두 전례없는 습격에 빠졌습니다. 월요일, 법무부는 의심되는 범인 인 중국을 확인했습니다.
법무부는 XNUMX 건의 기소에서 중국의 인민 해방군 XNUMX 명이 Equifax 핵의 배후에 있다고 주장했다. 영향을받는 미국 시민의 수와 관련하여, 이는 기록상 개인 식별 정보의 가장 큰 주정부 후원 도난 중 하나입니다. 또한 여러 측면에서 이미 중국과 긴밀한 관계를 확대하고있다.
"미국 산업에 대한 이런 종류의 공격은 민감한 개인 정보에 대한 중국의 불법적 인 불법 취득과 관련이 있습니다."라고 윌리엄 바 (William Barr) 미국 법무 장관은 기소를 발표 한 기자 회견에서 말했다. "수년 동안 우리는 미국인의 개인 데이터에 대한 중국의 욕심을 목격했습니다."
그 침략은 인사 관리 사무실의 해킹, 2015 년에 공개 된 중국 해커가 최근에 공개 된 내용을 통해 공무원과 관련하여 매우 민감한 데이터를 훔친 것으로 추정 됨 메리어트 호텔 체인 및 Anthem 건강 보험 위반.
Equifax는 그 영향이 큰 공격 그룹에서도 영향을받는 사람들의 수와 해커가 얻은 정보 유형 모두에서 두드러집니다. 일부는 이전에 중국의 개입을 의심-다크 웹에 정보가 유출되지 않았다는 사실은 일반적인 도둑이 아니라 국가 행위 자라는 것을 나타내지 않았다.-월요일의 DOJ 기소는 철저한 사건을 제기했다.
7 년 2017 월 XNUMX 일, Apache Software Foundation은 일부 버전의 Apache Struts 소프트웨어에 공격자가 대상 웹 응용 프로그램에서 원격으로 코드를 실행할 수있는 취약점이 있다고 발표했습니다. 해커들에게 전세계 어느 곳에서나 시스템과 혼동 할 수있는 기회를 제공하기 때문에 심각한 유형의 버그입니다. 공개의 일환으로 Apache는 문제를 해결하는 방법에 대한 패치와 지침도 제공했습니다.
분쟁 해결 시스템에서 Apache Struts Framework를 사용한 Equifax는 둘 다 무시. DOJ에 따르면 몇 주 안에 중국 해커는 Equifax 시스템 내부에있었습니다.
Apache Struts 취약점이 발판을 마련했습니다. 거기에서 우지 용 (Wu Zhiyong), 왕 치안 (Wang Qian), 쑤케 (Xu Ke), 류 레이 (Liu Lei) 등의 해커로 알려진 13 개의 해커가 몇 주 동안의 정찰을 수행하여 Equifax의 데이터베이스 구조와 그에 포함 된 레코드 수를 더 잘 파악할 수 있도록 쿼리를 실행했습니다. 예를 들어, XNUMX 월 XNUMX 일, 해커 중 한 명이 구조적 쿼리 언어 명령을 실행하여 Equifax 데이터 테이블에 대한 일반 세부 사항을 식별 한 다음 데이터베이스에서 선택된 수의 레코드를 샘플링했다고합니다.
결국 Equifax 웹 서버에 액세스하기 위해 소위 웹 쉘을 업로드했습니다. 그들은 자신의 위치를 사용하여 자격 증명을 수집하여 백엔드 데이터베이스에 자유롭게 액세스 할 수있었습니다. 건물에 침입 할 생각 : 주민들이 XNUMX 층 창문을 열어두고 직원 ID를 훔치면 훨씬 쉽습니다.
거기서부터 그들은 잔치했습니다. 기소자는 해커들이 특히 귀중한 데이터를 찾기 위해 일련의 SQL 명령을 실행했다고 주장합니다. 결국 그들은 이름, 주소, 주민등록번호 및 생년월일의 저장소를 찾았습니다. 법무부는 인터 로퍼가 9,000 개의 쿼리를 모두 실행했으며 XNUMX 월 말까지는 중단되지 않았다고 밝혔다.
많은 양의 데이터를 모으는 것이 한 가지 일입니다. 감지되지 않는 것은 또 다른 것입니다. 중국의 해커들은 몇 가지 기술을 사용하여 머더로드에 대한 액세스를 유지했다고합니다.
DOJ에 따르면, 도난당한 데이터를 임시 파일에 저장했습니다. 특히 큰 파일은 압축하여 관리하기 쉬운 크기로 나 bro습니다. 한 시점에서 49 개 디렉토리를 포함하는 아카이브를 600MB 청크로 분할했다는 의혹이 제기되었다. 이는 의심을 피할 수있을 정도로 전송을 작게 유지했다. 데이터를 유출 한 후 압축 파일을 삭제하여 추적을 최소화했습니다. 또한 회사의 기존 암호화 된 통신 채널을 사용하여 쿼리와 명령을 보낼 수있을 정도로 Equifax의 네트워크 내부에 충분히 깊숙이있을 수있었습니다. 모두 정상적인 네트워크 활동처럼 보였습니다.
이 기 소문에는 PLA 팀이 34 개국에 20 개의 서버를 설치하여 Equifax에 침투하여 어떻게 잠재적 인 문제로 지적하기 어려운지에 대해 자세히 설명되어 있습니다. 그들은 암호화 된 로그인 프로토콜을 사용하여 해당 서버에 대한 참여를 숨기고 적어도 하나의 인스턴스에서 매일 서버의 로그 파일을 삭제했습니다. 그들은 사실상 귀신이었습니다.
DOJ에 의해 자세히 설명 된 한 가지 사건을 살펴보십시오. 6 년 2017 월 XNUMX 일, 해커 중 하나가 스위스 IP 주소에서 Equifax 네트워크에 액세스했습니다. 그런 다음 서비스 계정에 대해 도난당한 사용자 이름과 비밀번호를 사용하여 Equifax 데이터베이스에 액세스했습니다. 그곳에서 그들은 사회 보장 번호, 성명 및 주소를 데이터베이스에 쿼리하여 출력 파일에 저장했습니다. 결과의 압축 파일 아카이브를 작성하여 다른 디렉토리에 복사 한 후 다운로드했습니다. 데이터를 안전하게 보관 한 다음 아카이브를 삭제했습니다.
몇 주에 걸쳐 반복하면 외국 정부의 손에 147.9 억 XNUMX 만 명의 사람들 정보가 쏟아져 나옵니다.
작업이 어느 정도 복잡해졌지만 Equifax 자체는 작업을 훨씬 더 쉽게 수행 할 수있었습니다. 초보자를 위해 초기 Apache Struts 취약점을 패치해야합니다. 그리고 FTC 불만 지난 여름부터이 회사는 관리 자격 증명을 보안되지 않은 파일에 일반 텍스트로 저장했다는 사실도 발견했습니다. 그것은 145 억 XNUMX 만 개의 사회 보장 번호 및 기타 소비자 데이터를 암호화하지 않고 일반 텍스트로 유지했습니다. 데이터베이스를 세그먼트 화하지 않아서 폴 아웃이 제한되었습니다. 적절한 파일 무결성 모니터링이 없었으며 오랫동안 만료 된 보안 인증서를 사용했습니다. 목록이 계속됩니다. Equifax는 중국 해커 혐의로 금고에 방치하지 않았습니다. 모든 안전한 금고에 대한 열쇠를 평범하게 보았습니다.
Equifax CEO 마크 보그 (Mark Begor)는 성명에서“우리는 2017 년 중국 군대가 Equifax에 대한 사이버 공격을 담당했다는 결정을 내리기 위해 노력한 법무부와 FBI에게 감사한다”고 말했다. "연방 법 집행 기관은 사이버 범죄, 특히 국가가 후원하는 범죄를 심각하게 대우해야합니다."
Jamil Farshchi 최고 정보 보안 책임자 (Chimil Information Security) Jamil Farshchi 이퀴 팩스 장교가 유선으로 말했다.
Equifax 해킹의 일부 요소, 특히 Apache Struts 취약점의 역할은 한동안 공개되었습니다. 그러나 중국에 대한 공격을 피하는 것은 Equifax 사건 자체와 국제 관계 측면에서 중요한 새로운 차원을 추가합니다.
미국과 중국은 사이버 보안 분야에서 몇 년 동안 격동을 겪었습니다. 2014 년 법무부는 PLA 회원 XNUMX 명에게 청구 미국 회사에 대한 해킹 범죄 이듬해 양국은 디지털 휴전 협정에 서명 한 바 있으며, 나머지는 오바마 행정부의 나머지 지역에서 어느 정도 빠른 속도를 유지하고있다.
그러나 최근 몇 년 동안 데탕트가 풀려났다는 징후가 나타났습니다. 메리어트와 앤섬 해킹은 오바마 휴전 이전에 2014 년에 시작되었습니다. 그러나 중국은 최근 기업 스파이 활동에 사이버 공격에 점점 더 집중하고 있습니다. 그것은 포함 CCleaner 보안 도구 손상 엔터프라이즈 네트워크에 백도어를 만들고 APT10 해커가 소위 관리 서비스 제공 업체에 침투 수십 개의 취약한 기업에게 발판이되었습니다.
그 침략은 만연한 지적 재산권 도난 그리고 무역 전쟁이 계속되면서 미중 관계를 더욱 강조했다. 파일에 Equifax를 추가하는 것은 독창적입니다.
"이 데이터는 경제적 가치가 있으며, 이러한 도난은 중국의 인공 지능 도구 개발과 정보 타겟팅 패키지 작성에 도움이 될 수 있습니다"라고 Barr은 말했습니다. "우리의 사례는 영업 비밀과 기밀 비즈니스 정보를 대상으로 한 중국의 국가 후원 컴퓨터 침입 및 도난 패턴을 보여줍니다."
월요일 발표는 미국이 중국 군사 해커를 이름으로 기소 한 것은 두 번째입니다. (중국 국방부와 연계하여 APT10은 비군사적이라고 간주된다.) 2014 년 처음. 그때까지, 그리고 DOJ 혐의로 러시아 해커라는 이름의 사례가 점차 증가함에 따라,이 단계는 잠재적 인 단점이 있습니다.
전 국가 안보국의 분석가 인 데이브 에텔 (Dave Aitel)은“중국인이 가슴에 걸 맞는 행동에 관여 할까 걱정한다. "교리 측면에서 명확한 신호를 갖는 것이 좋을 것입니다."
피고인이 정부를 위해 일하는 중국인이라는 점을 감안할 때 피고인이 정의에 직면하게하는 실용성도있다. FBI 부국장 데이비드 보디 치 (David Bowdich)는 월요일 기자 회견에서“해커들이 우리의 손이 닿지 않는 것처럼 보일 때 어떤 일이 좋은지 궁금해 할 것”이라고 말했다. "우리는 국내외 파트너의 도움을 받아 독창적 인 당국, 경험 및 역량을 활용하여 매일 매일이 위협에 대처할 것입니다."
미국 시민의 거의 절반에 해당하는 Equifax 해킹의 피해자를 위해 중국이 그 뒤에 있다는 명백한 계시는 다른 사람이 아니라면 크게 변하지 않습니다. 정보 수집 목적으로 타겟팅 할 수 있음. 개인 식별 정보는 결국 활용됩니다. 그러나 대부분의 사람들에게이 플레이 북은 동일하게 유지됩니다. 계정을 주시하고 정착 돈을 얻으십시오.
실제 관심사는 더 실존 적입니다. 이것이 두 세계 강대국들 사이에서 이미 어려움을 겪고있는 관계를 악화시킬 정도는 확실하지 않습니다. 그럼에도 불구하고, 전례없는 비율의 데이터 습득을 시작하는 것이 얼마나 쉬운 지 불안해합니다.
Aitel은“여기에는 흥미롭고 마음이 구부러지는 것들이 많이 있습니다. "미국 인구의 절반에 해당하는 개인 정보를 수집하는 데 XNUMX 명 밖에 걸리지 않았습니다."
Lily Hay Newman의 추가보고
