상세 컨텐츠

본문 제목

ASUS 소프트웨어 업데이트 서버 해킹돼 악성코드 배포

국내외 보안동향

by 알약(Alyac) 2019. 3. 26. 11:13

본문

Warning: ASUS Software Update Server Hacked to Distribute Malware


대만의 거대 기술 기업인 ASUS가 생산한 컴퓨터 백만 대 이상을 손상시킨 대규모 공급망 공격(Supply Chain Attack)이 발견되었습니다.


공급망 공격(Supply Chain Attack)이란?

SW 공급망 공격이란 정상 소프트웨어를 배포하거나 업데이트하는 과정에 침투해, 이를 변조하거나 악성코드를 숨기는 공격 방식입니다. 해당 악성코드들은 감염 컴퓨터의 데이터를 탈취하거나, 공격자의 명령제어 서버와의 통신으로 추가적인 악성코드도 다운로드 시킬 수 있습니다.


이 해커 그룹은 지난해 2018년 5월 ~ 11월 사이 ASUS의 Live 자동 소프트웨어 업데이트 서버를 해킹하는데 성공하였고, 전 세계 윈도우 컴퓨터 백만 대 이상에 백도어를 설치하는 악성 업데이트를 공급했습니다.


이 공격을 발견한 카스퍼스키랩(Kaspersky Lab)은 이를 ‘섀도우해머 작전(Operation ShadowHammer)’이라 이름 붙였으며, 2019년 1월 31일 Asus 측에 해당 공급망 공격에 대해 알렸습니다.


<이미지 출처: https://securelist.com/operation-shadowhammer/89992/>


연구원들은 악성 업데이트 샘플 200개 이상을 분석 결과 해커가 모든 사용자들을 노린 것이 아니라 악성코드에 하드코딩된 고유 MAC 주소를 통해 특정 사용자들만을 공격했다는 사실을 발견했습니다.


연구원들은 이 공격에 사용된 샘플 200개에서 고유 MAC 주소 600개 이상을 발견했으며, 다른 MAC 주소를 포함한 다른 샘플들도 있을 가능성이 있다고 밝혔습니다.


CCleaner와 ShadowPad 해킹 사건처럼, 악성 파일은 정식 ASUS 디지털 인증서로 서명되어 공식 업데이트로 위장해 오랜 기간 동안 발각되지 않았습니다.



연구원들은 아직까지 이 공격을 특정 APT과 연결하지는 못했지만, 2017년 발생한 ShadowPad 해킹 사건과 관련된 특정 증거를 발견할 수 있었다고 밝혔습니다.


당시 마이크로소프트는 Winnti 백도어의 배후에 있었던 BARIUM APT를 범인으로 지목했습니다.


ESET 회사의 보안 전문가들도 BARIUM과 관련된 또 다른 공급망 공격에 대해 조사하고 있으며, 이 사건도 이번 공급망 공격 사건과 관련이 있다고 추정됩니다.


카스퍼스키에 따르면, 백도어가 포함된 ASUS Live Update 버전은 카스퍼스키 백신 사용자 최소 57,000명이 다운로드 및 설치했습니다.


카스퍼스키에서는 수집한 데이터만으로 이 사건에 영향 받은 총 사용자의 수를 알아내기 어렵다고 언급했으며, 또한 실제 사고 규모는 훨씬 어마어마하며 전 세계 사용자 백만 명 이상이 영향을 받았을 가능성이 있다고 밝혔습니다.


시만텍은 자사 안티바이러스 소프트웨어를 실행 중인 컴퓨터들 13,000대 이상에서 이 악성코드를 발견했다고 밝혔습니다.


이 악성코드의 피해자들 중 대부분은 러시아, 독일, 프랑스, 이탈리아, 미국에서 발견되었습니다.


카스퍼스키는 사건 조사를 진행하는 동안 ASUS 및 다른 안티바이러스 회사에 이 공격에 대해 알렸습니다.


또한 섀도우해머 APT의 대상인지 여부를 확인할 수 있는 자동화 툴을 공개했습니다.




출처:

https://thehackernews.com/2019/03/asus-computer-hacking.html

https://securelist.com/operation-shadowhammer/89992/

https://motherboard.vice.com/en_us/article/pan9wn/hackers-hijacked-asus-software-updates-to-install-backdoors-on-thousands-of-computers

https://www.scmagazine.com/home/security-news/cybercrime/a-threat-actor-hijacked-asuss-software-update-to-install-backdoors-on-thousands-of-computers-and-ultimately-push-malware-to-machines/

https://www.bleepingcomputer.com/news/security/asus-live-update-infected-with-backdoor-in-supply-chain-attack/

관련글 더보기

댓글 영역