요약
- 독일 공영방송 Bayerischer Rundfunk(BR), 베트남 정부 지원 APT 그룹 오션로터스가 BMW 네트워크 해킹에 성공했다고 보도
- 공격 시기 : 지난 2019년 봄부터 시작된 것으로 추정하며, 지난 주 피해 시스템들을 격리 조치 및 공격자의 네트워크 접근을 차단함
- 공격 내용 : 보도 에 따르면 피해 컴퓨터에 코발트 스트라이크 툴 설치 성공. BMW 태국 지점으로 가장한 가짜 웹 사이트를 셋팅해 공격에 이용.
(현대자동차 공격에도 똑같이 가짜 웹 사이트를 사용했다 함)
- 피해 내용 : 익명의 IT 전문가에 따르면, 민감 정보는 유출 되지 않았으며, BMW 뭔휀 본사의 시스템에 접근 이력은 없음
- 오션로터스 추정 근거 : 코발트 스트라이크, 커스텀 멀웨어 - agent RUI, KerrDown 사용
- 언론 보도에 따른 각 사측의 대응 :
BMW 측 답변 : 오션로터스 공격과 관련한 직접적인 언급은 하지 않았으나, 외부 비인가 접속에 대한 위험을 최소화하고,
이를 신속하게 탐지 및 대응할 수 있도록 프로세스와 대응체계를 구축하고 있다는 원론적인 답변을 내놓음
현대 측 답변 : 답변에 응하지 않았다고 함
- 자동차 산업 타겟 공격 이유 :
2019년 6월 베트남 자체 자동차 브랜드 Vinfast 런칭과 관련 된 것으로 추정.
(오션로터스의 공격이 베트남의 자체 자동차 생산의 시작 시점부터 자동차 산업회사 타겟의 활발한 공격이 시작 됨.)
독일 회사들이 주요 공급원 이며, VInfast의 최초 2 모델의 라이센스를 BMW에서 가지고 있음. 프로덕션이 거의 100 독일산으로 봐도 무방
참고자료
출처 : hxxps://www.tagesschau.de/investigativ/br-recherche/bmw-hacker-101.html
hxxps://www.bleepingcomputer.com/news/security/bmw-infiltrated-by-hackers-hunting-for-automotive-trade-secrets/
hxxps://twitter.com/hatr/status/1202815789570633728
hxxps://twitter.com/cyb3rops/status/1202843110260252672
'Incident Report' 카테고리의 다른 글
[2020.08.19] DDoS 공격 협박 메일 캠페인(by. Fancy Bear, Armada Collective 주장그룹) (0) | 2020.08.19 |
---|---|
[2020.04.03]MS-SQL 서버 타겟 Vollgar 공격 캠페인 발견 (0) | 2020.04.03 |
[2019.11.15] 캐나다 누나부트준주. 11월 2일 Doppelpaymer 랜섬웨어 감염된 것으로 밝혀져 (0) | 2019.11.15 |
[2019.11.13] 멕시코 PEMEX 오일, DoppelPaymer 랜섬웨어 감염 (0) | 2019.11.13 |
[2019.11.05] TA505 그룹 활동 재개 가능성 포착 (0) | 2019.11.06 |