.gif)
카스퍼스키, 넷사랑컴퓨터 소프트웨어 소스코드에서 악성 백도어 발견
소스코드 수정했거나 소프트웨어 빌드에 악성 코드 덧붙여 감염시킨 듯
[보안뉴스 오다인 기자] 전 세계 수백 개 기업이 사용하는 윈도우 서버 관리 소프트웨어 소스코드에 악성 백도어가 끼워져 있었던 것으로 드러났다.
[이미지=iclickart]
일명 ‘셰도우패드(ShadowPad)’라 불리는 이 백도어는 지난 8월 4일 보안 업체 카스퍼스키 랩이 한 금융기관의 사건 대응 조사를 진행하면서 발견했다. 셰도우패드는 사이버 스파이 멀웨어의 일종으로 넷사랑컴퓨터가 2017년 7월 18일 배포한 소프트웨어 빌드 내 소스코드 라이브러리 중 하나에 삽입돼 있었다. 공격당한 빌드는 △Xmanager Enterprise 5.0 빌드 1232 △Xmanager Enterprise 5.0 빌드 1045 △Xshell 5.0 빌드 1322 △Xftp 5.0 빌드 1218 △Xlpd 5.0 빌드 1220 등이다.
카스퍼스키 랩은 이런 사실을 발견하고 넷사랑컴퓨터 측에 바로 고지했으며, 다음 날인 8월 5일 넷사랑컴퓨터 고객들이 다운로드 받을 수 있도록 업데이트가 배포됐다. 넷사랑컴퓨터의 소프트웨어는 금융, 교육, 통신, 제조, 에너지, 교통기관 등 다수의 기관에서 윈도우, 유닉스, 리눅스 서버를 관리하는 데 사용되고 있다.
카스퍼스키 랩의 수석 보안 연구자 이고르 소멘코프(Igor Soumenkov)는 현재까지 알려진 백도어 피해자는 홍콩에 있는 조직 한 군데가 유일하다고 말했으나 더 많은 피해자가 나타날 수 있다고 지적했다.
악성 소프트웨어 모듈은 여러 겹으로 구성된 공격의 첫 번째 단계로, 아시아 태평양 지역의 피해 서버 몇 군데서 활성화됐다. 카스퍼스키 랩은 이 공격이 PlugX와 WinNTi처럼 중국어를 구사하는 사이버 스파이 공격 그룹의 특징을 갖고 있다고 설명하면서도 이 그룹이 셰도우패드의 배후라고는 확언할 수 없다고 말했다.
소멘코프는 공급망의 형태를 보이는 이런 공격은 사이버 스파이 세계에서는 아직 흔치 않으며 올해 들어 두 번째로 발견됐다고 지적했다. 첫 번째는 낫페트야(NotPetya) 공격이었는데, 당시 공격자들은 우크라이나에서 많이 사용되는 ‘미독(MeDoc)’이라는 회계 소프트웨어의 업데이트 서버를 침해했다. 낫페트야는 고객이 회계 소프트웨어를 업데이트할 때 그들을 감염시켰다.
소멘코프는 넷사랑컴퓨터의 소프트웨어처럼 대중적인 소프트웨어에 이런 공격이 발생한 것은 “매우 흔치 않은 일”이라고 말했다. 이어 “넷사랑컴퓨터가 어떻게 감염됐는지에 대한 정보는 아직 나오지 않았으며 계속해서 조사가 진행 중”이라고 밝혔다.
카스퍼스키 랩이 어제(15일) 블로그에 공개한 바에 따르면, 공격자들은 소스코드를 수정했거나 넷사랑컴퓨터의 소프트웨어에 악성 코드를 덧붙였을 것으로 추정된다. 카스퍼스키 랩은 “아직 감염 경위를 조사 중이지만 코드 서명이 된 데다 이것이 모든 소프트웨어 패키지에 추가된 것으로 볼 때 공격자가 소스코드를 수정했거나 빌드 서버상의 소프트웨어에 악성 코드를 덧붙였다고 볼 수 있다”고 서술했다.
보안 업체 피델리스 사이버시큐리티(Fidelis Cybersecurity)의 위협 시스템 관리자 존 밤베넥(John Bambenek)은 공급망 공격 전략을 썼다는 사실과 피해자들의 지리적 위치를 고려할 때 중국 조직이 개입돼 있을 가능성이 있다고 말했다. 또한 그는 “결론을 명확하게 내릴 만큼 증거가 충분한 건 아니”라며 다른 누군가의 위장술일 가능성도 있다고 지적했다.
밤베넥은 “적들이 공격을 더 진행하면 할수록 감사하다”며 “그럴 때 바로 공격자가 미처 신경 쓰지 못한 곳에 흔적이 남게 되기 때문”이라고 말했다. 특히 공급망 형태의 공격을 펼칠 때 공격자가 스스로 인지하지 못한 채 흔적을 남길 가능성이 높다고 밤베넥은 분석했다.
소멘코프는 셰도우패드 공격자가 쫓고 있었던 정보가 정확히 무엇인지 알 수 없다고 말했다. 그러나 기업 네트워크에 접근할 수 있는 사용자가 쓰는 시스템을 공격자가 전략적으로 겨냥했다는 사실은 분명하다고 밝혔다. “넷사랑컴퓨터의 서버 관리 소프트웨어는 시스템 관리자에 의해 운영됩니다. 대개 기업 네트워크에서 특권을 갖고 있는 사용자들 말이죠.” 그는 “이런 기계들은 더 중요한 기업 자원에 접근하는 데 사용됐다고 생각한다”고 덧붙였다.
한편, 카스퍼스키 랩은 금융기관의 사건 대응 조사를 진행하다가 금융 거래를 처리하는 서버에서 의심스런 DNS 요청을 만들어낸다는 사실을 포착했다. 소멘코프는 “DNS 요청을 만들어내고 이를 분석하는 소프트웨어를 발견했다”면서 “당시에 연구원들은 (이 소프트웨어에서) 제대로 된 소프트웨어에선 보이지 않는 코드들, 즉 ATP, 바이러스, 트로이목마 등에서 발견되는 매우 의심스런 코드 조각을 발견했다”고 설명했다. “그때부터 저희는 더 깊이 파헤치기 시작했고 마침내 APT처럼 생긴 플랫폼을 내부에서 찾아낼 수 있었습니다.”
이 APT 플랫폼은 첫 단계만 활성화되면 8시간마다 C&C 서버로 DNS 요청을 보낸다고 소멘코프는 설명했다. 이 플랫폼은 C&C서버로 서버명과 도메인명을 보냈으며, 침해 기기가 유용하다고 판단되면 공격자가 서버 내에 백도어 플랫폼을 완전하고 은밀하게 활성화시킬 수도 있었던 것으로 나타났다. 공격자는 이런 수법을 감추기 위해 코드를 암호화하기도 했던 것으로 드러났다.
[국제부 오다인 기자(boan2@boannews.com)]
소스코드 수정했거나 소프트웨어 빌드에 악성 코드 덧붙여 감염시킨 듯
[보안뉴스 오다인 기자] 전 세계 수백 개 기업이 사용하는 윈도우 서버 관리 소프트웨어 소스코드에 악성 백도어가 끼워져 있었던 것으로 드러났다.
[이미지=iclickart]
일명 ‘셰도우패드(ShadowPad)’라 불리는 이 백도어는 지난 8월 4일 보안 업체 카스퍼스키 랩이 한 금융기관의 사건 대응 조사를 진행하면서 발견했다. 셰도우패드는 사이버 스파이 멀웨어의 일종으로 넷사랑컴퓨터가 2017년 7월 18일 배포한 소프트웨어 빌드 내 소스코드 라이브러리 중 하나에 삽입돼 있었다. 공격당한 빌드는 △Xmanager Enterprise 5.0 빌드 1232 △Xmanager Enterprise 5.0 빌드 1045 △Xshell 5.0 빌드 1322 △Xftp 5.0 빌드 1218 △Xlpd 5.0 빌드 1220 등이다.
카스퍼스키 랩은 이런 사실을 발견하고 넷사랑컴퓨터 측에 바로 고지했으며, 다음 날인 8월 5일 넷사랑컴퓨터 고객들이 다운로드 받을 수 있도록 업데이트가 배포됐다. 넷사랑컴퓨터의 소프트웨어는 금융, 교육, 통신, 제조, 에너지, 교통기관 등 다수의 기관에서 윈도우, 유닉스, 리눅스 서버를 관리하는 데 사용되고 있다.
카스퍼스키 랩의 수석 보안 연구자 이고르 소멘코프(Igor Soumenkov)는 현재까지 알려진 백도어 피해자는 홍콩에 있는 조직 한 군데가 유일하다고 말했으나 더 많은 피해자가 나타날 수 있다고 지적했다.
악성 소프트웨어 모듈은 여러 겹으로 구성된 공격의 첫 번째 단계로, 아시아 태평양 지역의 피해 서버 몇 군데서 활성화됐다. 카스퍼스키 랩은 이 공격이 PlugX와 WinNTi처럼 중국어를 구사하는 사이버 스파이 공격 그룹의 특징을 갖고 있다고 설명하면서도 이 그룹이 셰도우패드의 배후라고는 확언할 수 없다고 말했다.
소멘코프는 공급망의 형태를 보이는 이런 공격은 사이버 스파이 세계에서는 아직 흔치 않으며 올해 들어 두 번째로 발견됐다고 지적했다. 첫 번째는 낫페트야(NotPetya) 공격이었는데, 당시 공격자들은 우크라이나에서 많이 사용되는 ‘미독(MeDoc)’이라는 회계 소프트웨어의 업데이트 서버를 침해했다. 낫페트야는 고객이 회계 소프트웨어를 업데이트할 때 그들을 감염시켰다.
소멘코프는 넷사랑컴퓨터의 소프트웨어처럼 대중적인 소프트웨어에 이런 공격이 발생한 것은 “매우 흔치 않은 일”이라고 말했다. 이어 “넷사랑컴퓨터가 어떻게 감염됐는지에 대한 정보는 아직 나오지 않았으며 계속해서 조사가 진행 중”이라고 밝혔다.
카스퍼스키 랩이 어제(15일) 블로그에 공개한 바에 따르면, 공격자들은 소스코드를 수정했거나 넷사랑컴퓨터의 소프트웨어에 악성 코드를 덧붙였을 것으로 추정된다. 카스퍼스키 랩은 “아직 감염 경위를 조사 중이지만 코드 서명이 된 데다 이것이 모든 소프트웨어 패키지에 추가된 것으로 볼 때 공격자가 소스코드를 수정했거나 빌드 서버상의 소프트웨어에 악성 코드를 덧붙였다고 볼 수 있다”고 서술했다.
보안 업체 피델리스 사이버시큐리티(Fidelis Cybersecurity)의 위협 시스템 관리자 존 밤베넥(John Bambenek)은 공급망 공격 전략을 썼다는 사실과 피해자들의 지리적 위치를 고려할 때 중국 조직이 개입돼 있을 가능성이 있다고 말했다. 또한 그는 “결론을 명확하게 내릴 만큼 증거가 충분한 건 아니”라며 다른 누군가의 위장술일 가능성도 있다고 지적했다.
밤베넥은 “적들이 공격을 더 진행하면 할수록 감사하다”며 “그럴 때 바로 공격자가 미처 신경 쓰지 못한 곳에 흔적이 남게 되기 때문”이라고 말했다. 특히 공급망 형태의 공격을 펼칠 때 공격자가 스스로 인지하지 못한 채 흔적을 남길 가능성이 높다고 밤베넥은 분석했다.
소멘코프는 셰도우패드 공격자가 쫓고 있었던 정보가 정확히 무엇인지 알 수 없다고 말했다. 그러나 기업 네트워크에 접근할 수 있는 사용자가 쓰는 시스템을 공격자가 전략적으로 겨냥했다는 사실은 분명하다고 밝혔다. “넷사랑컴퓨터의 서버 관리 소프트웨어는 시스템 관리자에 의해 운영됩니다. 대개 기업 네트워크에서 특권을 갖고 있는 사용자들 말이죠.” 그는 “이런 기계들은 더 중요한 기업 자원에 접근하는 데 사용됐다고 생각한다”고 덧붙였다.
한편, 카스퍼스키 랩은 금융기관의 사건 대응 조사를 진행하다가 금융 거래를 처리하는 서버에서 의심스런 DNS 요청을 만들어낸다는 사실을 포착했다. 소멘코프는 “DNS 요청을 만들어내고 이를 분석하는 소프트웨어를 발견했다”면서 “당시에 연구원들은 (이 소프트웨어에서) 제대로 된 소프트웨어에선 보이지 않는 코드들, 즉 ATP, 바이러스, 트로이목마 등에서 발견되는 매우 의심스런 코드 조각을 발견했다”고 설명했다. “그때부터 저희는 더 깊이 파헤치기 시작했고 마침내 APT처럼 생긴 플랫폼을 내부에서 찾아낼 수 있었습니다.”
이 APT 플랫폼은 첫 단계만 활성화되면 8시간마다 C&C 서버로 DNS 요청을 보낸다고 소멘코프는 설명했다. 이 플랫폼은 C&C서버로 서버명과 도메인명을 보냈으며, 침해 기기가 유용하다고 판단되면 공격자가 서버 내에 백도어 플랫폼을 완전하고 은밀하게 활성화시킬 수도 있었던 것으로 나타났다. 공격자는 이런 수법을 감추기 위해 코드를 암호화하기도 했던 것으로 드러났다.
[국제부 오다인 기자(boan2@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
