2024-03-29 22:40 (금)
ShadowHammer 공격으로 아수스 컴퓨터에 백도어 설치돼...공급망 공격 사례 발생
상태바
ShadowHammer 공격으로 아수스 컴퓨터에 백도어 설치돼...공급망 공격 사례 발생
  • 길민권 기자
  • 승인 2019.03.27 22:44
이 기사를 공유합니다

"공급망 위협이 오늘날 가장 큰 사이버 보안 문제 중 하나"

code-820275_640.jpg
외신에 따르면, 아수스(ASUS) 컴퓨터에 소프트웨어 업데이트 플랫폼을 통해 백도어가 설치됨으로써 카스퍼스키 연구원은 ShadowHammer가 CCleaner의 공격범위를 능가하는 가장 큰 공급망(supply chain) 공격 중 하나라고 보도했다.

보안연구원들은 유틸리티의 해시가 하드 코드된 600개의 특정 MAC 주소만을 대상으로 하는 것처럼 보였지만, 멀웨어가 백만 이상의 사용자에게 배포되었다고 추정했다.

카스퍼스키 연구원은 보고서에서 “위협 행위자는 BIOS, UEFI 및 소프트웨어 업데이트를 아수스 랩탑 및 데스크탑에 제공하는 아수스 라이브 업데이트 유틸리티(ASUS Live Update Utility)를 수정해 백도어를 삽입한 후 공식 채널을 통해 배포했다. 트로이 목마화된 유틸리티는 합법적인 인증서로 서명되었으며 업데이트 전용 아수스 서버에서 호스팅되었고 오랫동안 발견되지 않았다”고 설명했다.

연구원은 또한 동일한 기술이 아수스 외에도 세개의 벤더 소프트웨어에 대해 사용되었다고 덧붙였다. 한편 사용자들은 아수스 라이브 업데이트 유틸리티(ASUS Live Update Utility)를 업데이트해야 한다고 권고했다.

베나피(Venafi)의 보안 전략 및 위협 정보 담당 부사장인 케빈 보섹(Kevin Bocek)는 사이버 범죄자들은 코드 서명 인증서를 가치있는 타깃으로 보고 있다고 전했다.

그는 "코드 서명 인증서는 어떤 업데이트와 시스템이 신뢰할 수 있는지 확인하는데 사용하며 그것들은 자동차, 랩탑, 비행기 등의 어플리케이션에 들어있다. 거의 모든 운영체제가 코드 서명에 의존하고 있으며 모바일 앱, DevOps 및 IoT 장치의 등장으로 가까운 미래에는 더 많은 인증서를 보게 될 것이다"라고 말했다.

그는 불행히도 많은 조직이 그들의 자산과 코드 서명 프로세스를 보호하기 위한 준비를 하지 않는 개발자에 의존하고 대부분의 보안팀이 그들의 개발자가 코드 서명을 사용하는지 누가 코드 서명 프로세스에 접근권한을 갖고 있는지 모른다고 지적했다.

이어 "조직에서 어떤 코드 서명 인증서를 사용하고 있는지, 특히 향후 비슷한 공격이 나타날 가능성이 있는 곳을 파악하는 것이 중요하다고" 덧붙였다.

비트사이트(BitSight)의 제이크올콧(Jake Olcott) 부사장은 공급망 위협이 오늘날 가장 큰 사이버 보안 문제 중 하나라고 말했다.

그는 "원격 패치 및 업데이트를 고객에게 제공하는 기술회사는 고객과의 폭 넓고 신뢰할 수 있는 관계로 인해 점점 더 공격의 타깃이 되고 있다. 기업들은 이 위험에 대한 보다 나은 대응을 위해 철저한 노력과 지속적인 공급업체 모니터링을 해야 한다"고 강조했다.

레이썬인텔리젼스(Raytheon Intelligence)의 사이버 보호 솔루션 CTO인 마크 올랜도(Mark Orlando)는 공격을 더욱 흥미롭게 만드는 것을 아직 모르고 있을 수 있다고 말했다.

그는 "카스퍼스키랩의 조사는 아수스의 백도어된 업데이트 유틸리티에서 하드코딩된 500개의 맥어드레스를 확인했다. 이것은 상대적으로 적은 수의 특정 기기를 타깃으로 하는 광범위한 공격이 시작되었음을 나타낸다. 또한 이 공격은 해당 장치를 목표로 하는 정찰을 기반으로하는 다단계 캠페인의 일부임을 의미한다."고 전했다.

올랜도는 공격자의 궁극적인 목표에 관계없이 이러한 종류의 공급망 공격이 증가하고 있으며 탐지하기 어려운 방식으로 엄청난 수의 장치를 손상시킬 수 있다고 덧붙였다.

증가하는 위협에 대처하기 위해 조직들이 공급망 보안, 특히 소프트업데이트 보안을 철저히 검토해야 한다고 말했다.

그는 "디지털 서명이 되어 있는 신뢰할 수 있는 출처에서 유래한 손상된 업데이트는 안티 바이러스와 같은 서명 기반 방어를 우회할 것이다. 가장 좋은 방어는 사전 대응 분석(예: 위협 탐지)을 행하고 타사 소프트웨어는 철처하게 조사하는 것이다"라고 말했다.


-국내 최대 개인정보보호&정보보안 컨퍼런스 <G-PRIVACY 2019> 4월 10일 개최. 7시간 보안교육 이수 가능.

-사전등록: http://conf.dailysecu.com/conference/g-privacy/2019.html

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★