[2019.12.09] 오션로터스 BMW, 현대자동차 네트워크 공격 포착

요약

- 독일 공영방송 Bayerischer Rundfunk(BR), 베트남 정부 지원 APT 그룹 오션로터스가 BMW 네트워크 해킹에 성공했다고 보도

- 공격 시기 : 지난 2019년 봄부터 시작된 것으로 추정하며, 지난 주 피해 시스템들을 격리 조치 및 공격자의 네트워크 접근을 차단함

- 공격 내용 : 보도 에 따르면 피해 컴퓨터에 코발트 스트라이크 툴 설치 성공. BMW 태국 지점으로 가장한 가짜 웹 사이트를 셋팅해 공격에 이용.

                 (현대자동차 공격에도 똑같이 가짜 웹 사이트를 사용했다 함)

- 피해 내용 : 익명의 IT 전문가에 따르면, 민감 정보는 유출 되지 않았으며, BMW 뭔휀 본사의 시스템에 접근 이력은 없음

- 오션로터스 추정 근거 : 코발트 스트라이크, 커스텀 멀웨어 - agent RUI, KerrDown 사용

- 언론 보도에 따른 각 사측의 대응 : 

BMW 측 답변 : 오션로터스 공격과 관련한 직접적인 언급은 하지 않았으나, 외부 비인가 접속에 대한 위험을 최소화하고, 

                    이를 신속하게 탐지 및 대응할 수 있도록 프로세스와 대응체계를 구축하고 있다는 원론적인 답변을 내놓음

현대 측 답변 : 답변에 응하지 않았다고 함

- 자동차 산업 타겟 공격 이유 : 

2019년 6월 베트남 자체 자동차 브랜드 Vinfast 런칭과 관련 된 것으로 추정. 

(오션로터스의 공격이 베트남의 자체 자동차 생산의 시작 시점부터 자동차 산업회사 타겟의 활발한 공격이 시작 됨.)

독일 회사들이 주요 공급원 이며, VInfast의 최초 2 모델의 라이센스를 BMW에서 가지고 있음. 프로덕션이 거의 100 독일산으로 봐도 무방

참고자료

출처 : hxxps://www.tagesschau.de/investigativ/br-recherche/bmw-hacker-101.html

hxxps://www.bleepingcomputer.com/news/security/bmw-infiltrated-by-hackers-hunting-for-automotive-trade-secrets/

hxxps://twitter.com/hatr/status/1202815789570633728

hxxps://twitter.com/cyb3rops/status/1202843110260252672