상세 컨텐츠

본문 제목

SolarWinds 공격에 사용된 악성코드, 1,000명이 넘는 개발자의 작업으로 밝혀져

국내외 보안동향

by 알약4 2021. 2. 16. 09:00

본문

 

 

The malicious code in SolarWinds attack was the work of 1,000+ developers

 

마이크로소프트가 SolarWinds의 공급망 공격을 분석한 결과 해당 코드가 약 천 명의 개발자의 작업인 것으로 나타났다고 밝혔습니다.

 

마이크로소프트 회장인 Brad SmithSolarwinds 공급망 공격을 조사한 자세한 내용을 공개했으며, 조사 결과에 따르면 이 해킹 사건은 개발자 천 명이 참여한 작업으로 추측된다고 밝혔습니다.

 

Smith는 마이크로소프트가 발견한 내용을 미국 TV 프로그램인 ’60 Minutes’에 공유하고, 이를 세계에서 가장 규모가 크고 정교한 공격이라 정의했습니다.

 

마이크로소프트에서 목격한 모든 것을 분석하던 중, 우리는 이 한 공격 작업에 참여한 엔지니어가 몇 명인지 궁금해졌습니다. 그리고 우리는 이 작업에 참여한 개발자가 약 1,000명 이상일 것으로 확신했습니다.”

 

Smith는 이 공격의 주체를 확실히 특정하지는 않았지만, 러시아와 관련된 APT 그룹이 실행한 우크라이나 전력망 공격과 비슷하다고 지적했습니다.

 

FireEye CEO Kevin Mandina 또한 해커가 이중 인증을 우회하려 시도했을 때 전문가가 어떻게 공격을 발견하게 되었는지 설명했습니다.

 

집에서 일하는 모든 사람들과 마찬가지로, 우리도 이중 인증 기능을 사용하고 있습니다. 코드는 전화기기에 표시됩니다. 그리고 그 코드를 입력해야 로그인이 가능합니다. FireEye 직원 한 명이 로그인 중이었으며, 보안 직원이 확인한 결과 해당 직원이 전화 기기 2대를 등록해 둔 사실을 발견했습니다.”

 

따라서 보안 직원은 해당 직원에게 전화를 걸어 물었습니다. “두 번째 기기를 네트워크에 등록했습니까?” 그리고 직원은 아니오, 제가 한 일이 아니었습니다.”라 대답했습니다.”

 

이는 충분히 의심을 가질 만한 상황이었고, 내부 조사 결과 직원으로 위장한 침입자가 네트워크를 스누핑 하고, 클라이언트 방어 및 활동 중인 사이버 공격에 대한 인텔리전스 리포트에 사용되는 FireEye의 독점 툴을 훔친 것을 발견했습니다. 해커는 그들이 어떻게 침입했는지에 대한 흔적을 전혀 남기지 않았습니다. 어떠한 피싱 시도와 악성코드도 찾아볼 수 없었습니다.”

 

Smith는 공격에 사용된 악성코드의 핵심 코드는 4,032줄이라 밝혔습니다.

 

“SolarWinds Orion은 잘 알려지지 않은 가장 유비쿼터스한 소프트웨어 제품 중 하나이지만, 전 세계 수 천 IT 부서에서 없어서는 안될 필수적인 요소입니다.”

 

이 소프트웨어는 컴퓨터 코드 수백만 줄로 이루어져 있습니다. 정기 업데이트를 위해 이 중 4,032줄의 코드가 재작성되어 고객에게 배포되었으며, 감염된 네트워크 18,000곳에 비밀 백도어를 오픈했습니다.”

 

마이크로소프트에서는 엔지니어 500명을 지정하여 이 공격을 조사했습니다. 한 사람은 이 공격을 렘브란트 그림에 비유했는데, 가까이서 살펴볼수록 더 많은 세부 내용이 드러났습니다.”

 

NSA 부국장인 Chris Inglis는 정부가 사기업의 네트워크를 들여다 보지 않기 때문에 이 공격을 탐지하지 못했다고 밝혔습니다. 정부는 그들의 네트워크에서 이 악성코드를 발견하지 못했습니다. 이 공격은 정부 기관에 이루어지는 사이버 공격을 탐지하도록 설계된 ‘Einstein’ 플랫폼과 같은 정부 방어 시스템을 우회합니다.

 

러시아는 한 수 앞서갔습니다. 이들은 해외에서 정보를 수집하는 기관인 NSA를 우회했지만, 미국에서는 컴퓨터 네트워크를 감시하는 것은 금지되어 있습니다. 따라서 러시아인들은 미국에 익명으로 설치된 서버에서 공격을 실행했습니다.”

 

 

 

 

출처:

https://securityaffairs.co/wordpress/114598/apt/solarwinds-supply-chain-effort.html

https://www.theregister.com/2021/02/15/solarwinds_microsoft_fireeye_analysis/

https://www.cbsnews.com/news/solarwinds-hack-russia-cyberattack-60-minutes-2021-02-14/

관련글 더보기

댓글 영역