수백만 개의 PC 마더보드에서 발견된 백도어 펌웨어
사이버 범죄자는 컴퓨터의 UEFI 펌웨어(운영 체제 부팅을 담당하는 기본 코드) 내에 악성 프로그램을 숨기는 교활한 전술을 점점 더 많이 사용하고 있습니다. 그러나 마더보드 제조업체가 수백만 대의 컴퓨터 펌웨어에 숨겨진 백도어를 포함할 뿐만 아니라 해당 입구를 제대로 보호하지 못하는 경우 상황은 더욱 심각해집니다.
최근 펌웨어 전문 사이버 보안 연구원 팀이 게임용 PC 및 고성능 컴퓨터에 널리 사용되는 유명한 대만 회사인 Gigabyte에서 제조한 마더보드의 펌웨어에 내장된 숨겨진 메커니즘을 발견했습니다. 영향을 받는 Gigabyte 마더보드가 있는 컴퓨터를 다시 시작하면 펌웨어 내의 숨겨진 코드가 컴퓨터에서 업데이트 프로그램을 신중하게 트리거합니다. 결과적으로 이 프로그램은 사용자 모르게 또는 동의 없이 다른 소프트웨어를 다운로드하고 실행합니다.
목차
좋은 의도, 그다지 구현되지 않음
Gigabyte 마더보드 펌웨어에서 발견된 숨겨진 코드는 아마도 펌웨어 업데이트를 위한 무해한 도구로 의도된 것으로 추정되지만 연구원들은 구현에서 심각한 보안 결함을 확인했습니다. 이러한 취약점은 의도된 Gigabyte 프로그램 대신 맬웨어를 설치하는 데 사용할 수 있는 메커니즘을 악용하는 악의적인 행위자의 잠재적 위험을 만듭니다.
문제를 더욱 복잡하게 만드는 것은 업데이터 프로그램이 컴퓨터의 펌웨어에서 시작되어 사용자의 운영 체제 영역 외부에서 작동한다는 사실입니다. 이로 인해 사용자가 문제가 있는 코드를 감지하거나 제거하는 것이 매우 어려워지고 보안 취약성의 잠재적 영향이 더욱 악화됩니다.
270개 이상의 모델 관련
컴퓨터의 마더보드에 문제의 백도어가 있는지 확인하려면 Windows에서 "시작"으로 이동하여 "시스템 정보"에 액세스하십시오.
펌웨어 기반 악성 코드를 조사하는 동안 연구원들은 Gigabyte의 숨겨진 펌웨어 메커니즘에 대해 중요한 사실을 발견했습니다. 정교한 해커가 유사한 전술을 자주 사용한다는 점에서 이 발견은 특히 주목할 만합니다. 놀랍게도 연구원들의 자동 탐지 스캔은 Gigabyte의 업데이터 메커니즘이 국가 지원 해킹 도구를 연상시키는 의심스러운 활동에 관여하는 것으로 표시했습니다. 특히 펌웨어 안에 숨어 인터넷에서 코드를 다운로드하는 프로그램을 자동으로 실행했습니다.
Gigabyte의 업데이터 메커니즘만으로도 거의 감지할 수 없는 도구를 통한 자동 코드 설치 가능성에 대해 우려하는 사용자들 사이에서 우려를 불러일으켰습니다. 또한 Gigabyte의 메커니즘이 마더보드 제조업체에 침투하여 악의적인 소프트웨어 공급망 공격에 대한 숨겨진 액세스를 활용하는 해커의 악용에 희생될 수 있다는 진정한 두려움이 있습니다. 그러나 Eclypsium의 조사에서 훨씬 더 놀라운 사실이 밝혀졌습니다. 사용자 경험을 향상시키기 위해 설계된 업데이트 메커니즘에는 악의적으로 하이재킹될 수 있는 눈에 띄는 취약점이 포함되어 있습니다. 놀랍게도 적절한 인증을 거치지 않고 사용자의 컴퓨터에 코드를 다운로드하고 경우에 따라 보다 안전한 HTTPS 대신 안전하지 않은 HTTP 연결을 사용하기도 합니다.
이 빈틈없는 보안 허점을 통해 악의적인 공격자는 중간자 공격을 조율하여 설치 소스를 스푸핑하여 순진한 사용자를 속일 수 있습니다. 본질적으로 악의적인 Wi-Fi 네트워크도 위험한 도구가 되어 사용자의 인터넷 연결을 가로채고 시스템 무결성을 손상시킬 수 있습니다.
다른 경우에는 Gigabyte의 펌웨어 메커니즘을 통해 업데이터가 로컬 NAS(Network-Attached Storage Device)에서 다운로드를 가져올 수 있습니다. 비즈니스 네트워크 내에서 업데이트를 용이하게 하는 것을 목표로 하는 것처럼 보이는 이 기능은 모든 시스템에서 광범위한 인터넷 액세스를 방지합니다. 그러나 이런 일이 발생하면 동일한 네트워크에 있는 악의적인 행위자가 NAS 위치를 기만적으로 조작하여 승인된 업데이트를 자신의 맬웨어로 은밀하게 교체할 수 있습니다.
수정이 작동할 수 있습니까? 아니면 작동하지 않습니까?
펌웨어 문제를 해결하기 위한 Gigabyte의 잠재적인 노력에도 불구하고 펌웨어 업데이트는 프로세스의 복잡한 특성과 펌웨어를 하드웨어에 맞추는 문제로 인해 사용자 시스템에서 자동으로 종료되는 경우가 많습니다. 영향을 받을 수 있는 수많은 장치를 고려할 때 이 계시는 깊은 우려를 불러일으킵니다. Gigabyte는 숨겨진 펌웨어 도구를 사용하여 악의적이거나 기만적인 의도가 없었을 가능성이 높지만 운영 체제 아래 숨겨진 코드 내의 보안 취약성은 사용자의 시스템에 대한 근본적인 신뢰를 약화시킵니다.