포스팅 내용

국내외 보안동향

ASUS 소프트웨어 업데이트 서버 해킹돼 악성코드 배포

Warning: ASUS Software Update Server Hacked to Distribute Malware


대만의 거대 기술 기업인 ASUS가 생산한 컴퓨터 백만 대 이상을 손상시킨 대규모 공급망 공격(Supply Chain Attack)이 발견되었습니다.


공급망 공격(Supply Chain Attack)이란?


이 해커 그룹은 지난해 2018년 5월 ~ 11월 사이 ASUS의 Live 자동 소프트웨어 업데이트 서버를 해킹하는데 성공하였고, 전 세계 윈도우 컴퓨터 백만 대 이상에 백도어를 설치하는 악성 업데이트를 공급했습니다.


이 공격을 발견한 카스퍼스키랩(Kaspersky Lab)은 이를 ‘섀도우해머 작전(Operation ShadowHammer)’이라 이름 붙였으며, 2019년 1월 31일 Asus 측에 해당 공급망 공격에 대해 알렸습니다.


<이미지 출처: https://securelist.com/operation-shadowhammer/89992/>


연구원들은 악성 업데이트 샘플 200개 이상을 분석 결과 해커가 모든 사용자들을 노린 것이 아니라 악성코드에 하드코딩된 고유 MAC 주소를 통해 특정 사용자들만을 공격했다는 사실을 발견했습니다.


연구원들은 이 공격에 사용된 샘플 200개에서 고유 MAC 주소 600개 이상을 발견했으며, 다른 MAC 주소를 포함한 다른 샘플들도 있을 가능성이 있다고 밝혔습니다.


CCleaner와 ShadowPad 해킹 사건처럼, 악성 파일은 정식 ASUS 디지털 인증서로 서명되어 공식 업데이트로 위장해 오랜 기간 동안 발각되지 않았습니다.



연구원들은 아직까지 이 공격을 특정 APT과 연결하지는 못했지만, 2017년 발생한 ShadowPad 해킹 사건과 관련된 특정 증거를 발견할 수 있었다고 밝혔습니다.


당시 마이크로소프트는 Winnti 백도어의 배후에 있었던 BARIUM APT를 범인으로 지목했습니다.


ESET 회사의 보안 전문가들도 BARIUM과 관련된 또 다른 공급망 공격에 대해 조사하고 있으며, 이 사건도 이번 공급망 공격 사건과 관련이 있다고 추정됩니다.


카스퍼스키에 따르면, 백도어가 포함된 ASUS Live Update 버전은 카스퍼스키 백신 사용자 최소 57,000명이 다운로드 및 설치했습니다.


카스퍼스키에서는 수집한 데이터만으로 이 사건에 영향 받은 총 사용자의 수를 알아내기 어렵다고 언급했으며, 또한 실제 사고 규모는 훨씬 어마어마하며 전 세계 사용자 백만 명 이상이 영향을 받았을 가능성이 있다고 밝혔습니다.


시만텍은 자사 안티바이러스 소프트웨어를 실행 중인 컴퓨터들 13,000대 이상에서 이 악성코드를 발견했다고 밝혔습니다.


이 악성코드의 피해자들 중 대부분은 러시아, 독일, 프랑스, 이탈리아, 미국에서 발견되었습니다.


카스퍼스키는 사건 조사를 진행하는 동안 ASUS 및 다른 안티바이러스 회사에 이 공격에 대해 알렸습니다.


또한 섀도우해머 APT의 대상인지 여부를 확인할 수 있는 자동화 툴을 공개했습니다.




출처:

https://thehackernews.com/2019/03/asus-computer-hacking.html

https://securelist.com/operation-shadowhammer/89992/

https://motherboard.vice.com/en_us/article/pan9wn/hackers-hijacked-asus-software-updates-to-install-backdoors-on-thousands-of-computers

https://www.scmagazine.com/home/security-news/cybercrime/a-threat-actor-hijacked-asuss-software-update-to-install-backdoors-on-thousands-of-computers-and-ultimately-push-malware-to-machines/

https://www.bleepingcomputer.com/news/security/asus-live-update-infected-with-backdoor-in-supply-chain-attack/

  1. 순간을 머무는 바람 2019.03.29 12:41 신고  수정/삭제  댓글쓰기

    이번에 중학생인 아들녀석 과제와 동아리 산출물 작성 등에 쓰라고 ASUS 랩탑을 하나 사줬는데...
    지금은 해당 문제가 해결 되었으려나요? 요즘 갈수록 랜섬웨어 등이 활개를 치고 있어서 불안하네요.
    백신을 사용해도 그것만으로 안심할 수 있을 지 의문입니다. 덕분에 잘 보고 갑니다.

    • 알약(Alyac) 2019.04.03 11:45 신고  수정/삭제

      안녕하세요. 알약입니다. 해당 공격의 경우 국내쪽보다는 피해자들이 대부분 러시아,독일,프랑스,이탈리아,미국쪽으로 확인되고 있습니다.
      걱정되시는 부분에 대해서 점검할 수 있는 방법이 2가지인데요. 1번째는 https://shadowhammer.kaspersky.com/ 사이트에 접속하셔서 사용중인 ASUS랩탑이 인터넷연결될때 설정되는 IP주소를 입력해보는 방식이 있을 것 같습니다. 2번째는 본문글에도 나와있듯이 https://kas.pr/shadowhammer 링크를 통해 공격대상인지 여부를 확인할 수 있는 자동화툴을 다운로드하셔서 확인하실 수 있습니다. 감사합니다~

티스토리 방명록 작성
name password homepage