search
ko한국어
banner
홈페이지 / 소식 / 수백만 개의 기가바이트 마더보드가 펌웨어 백도어와 함께 판매되었습니다.
소식
pageSearch
최근 뉴스

수백만 개의 기가바이트 마더보드가 펌웨어 백도어와 함께 판매되었습니다.

Dec 14, 2023Dec 14, 2023

앤디 그린버그

PC에 운영 체제를 로드하는 방법을 알려주는 깊숙한 코드인 컴퓨터의 UEFI 펌웨어에 악성 프로그램을 숨기는 것은 은밀한 해커들의 툴킷에 있는 교활한 속임수가 되었습니다. 그러나 마더보드 제조업체가 수백만 대의 컴퓨터 펌웨어에 자체 숨겨진 백도어를 설치하고 숨겨진 뒷문에 적절한 잠금 장치를 설정하지 않으면 사실상 해커의 작업을 대신하는 것입니다.

펌웨어 중심의 사이버 보안 회사인 Eclypsium의 연구원들은 오늘 대만 제조업체인 Gigabyte가 판매하는 마더보드의 펌웨어에서 숨겨진 메커니즘을 발견했다고 밝혔습니다. 이 마더보드의 구성 요소는 게임용 PC 및 기타 고성능 컴퓨터에 일반적으로 사용됩니다. Eclypsium은 영향을 받은 Gigabyte 마더보드가 장착된 컴퓨터가 다시 시작될 때마다 마더보드 펌웨어 내의 코드가 눈에 보이지 않게 컴퓨터에서 실행되는 업데이트 프로그램을 시작하고 이어서 다른 소프트웨어를 다운로드하여 실행한다는 사실을 발견했습니다.

Eclypsium은 숨겨진 코드가 마더보드의 펌웨어를 업데이트된 상태로 유지하기 위한 무해한 도구라고 밝혔지만 연구원들은 이 코드가 안전하지 않게 구현되어 잠재적으로 메커니즘이 하이재킹되어 Gigabyte가 의도한 프로그램 대신 악성 코드를 설치하는 데 사용될 수 있다는 사실을 발견했습니다. 그리고 업데이터 프로그램은 운영 체제 외부의 컴퓨터 펌웨어에서 실행되기 때문에 사용자가 이를 제거하거나 발견하는 것도 어렵습니다.

전략을 이끄는 John Loucaides는 "이러한 기계 중 하나가 있다면 기본적으로 인터넷에서 무언가를 가져와 사용자 개입 없이 실행하고 있으며 이 중 어떤 것도 안전하게 수행되지 않았다는 사실에 대해 걱정해야 합니다."라고 말합니다. Eclypsium에서 연구를 진행합니다. "최종 사용자 밑으로 내려가서 그들의 컴퓨터를 장악한다는 개념은 대부분의 사람들에게 잘 어울리지 않습니다."

연구에 대한 블로그 게시물에서 Eclypsium은 연구원들이 영향을 받았다고 말하는 271개의 Gigabyte 마더보드 모델을 나열합니다. Loucaides는 자신의 컴퓨터가 어떤 마더보드를 사용하는지 확인하려는 사용자는 Windows의 "시작"으로 이동한 다음 "시스템 정보"로 이동하여 확인할 수 있다고 덧붙였습니다.

Eclypsium은 정교한 해커들이 점점 더 많이 사용하는 도구인 펌웨어 기반 악성 코드를 찾기 위해 고객의 컴퓨터를 조사하던 중 Gigabyte의 숨겨진 펌웨어 메커니즘을 발견했다고 밝혔습니다. 예를 들어, 2018년에는 러시아의 GRU 군사 정보 기관을 대신하여 활동하는 해커들이 스파이 전술로 피해자의 컴퓨터에 펌웨어 기반 도난 방지 소프트웨어 LoJack을 자동으로 설치하는 것이 발견되었습니다. 중국 정부의 지원을 받는 해커가 해커 고용 회사인 해킹 팀(Hacking Team)이 아프리카, 아시아, 유럽의 외교관과 NGO 직원의 컴퓨터를 표적으로 삼기 위해 만든 펌웨어 기반 스파이웨어 도구를 용도 변경한 것이 2년 후 발견되었습니다. Eclypsium의 연구원들은 펌웨어에 숨어 인터넷에서 코드를 다운로드하는 프로그램을 자동으로 설치하는 등 정부가 후원하는 해킹 도구와 동일한 그늘진 동작을 수행하는 Gigabyte의 업데이트 메커니즘을 자동화된 탐지 스캔으로 표시하는 것을 보고 놀랐습니다.

로렌 구드

유선 직원

브렌다 스톨야르

윌 나이트

Gigabyte의 업데이터만으로도 Gigabyte가 거의 보이지 않는 도구를 사용하여 자신의 컴퓨터에 자동으로 코드를 설치하는 것을 신뢰하지 않거나 Gigabyte의 메커니즘이 해커에 의해 악용될 수 있다는 우려가 제기되었을 수 있습니다. 소프트웨어 공급망 공격. 그러나 Eclypsium은 또한 업데이트 메커니즘이 하이재킹을 허용할 수 있는 심각한 취약점과 함께 구현되었음을 발견했습니다. 이는 적절한 인증 없이 사용자 컴퓨터에 코드를 다운로드하며 때로는 HTTPS가 아닌 보호되지 않는 HTTP 연결을 통해서도 마찬가지입니다. 이렇게 하면 악성 Wi-Fi 네트워크와 같이 사용자의 인터넷 연결을 가로챌 수 있는 사람이 수행하는 중간자 공격에 의해 설치 소스가 스푸핑될 수 있습니다.

다른 경우에는 Gigabyte의 펌웨어 메커니즘에 의해 설치된 업데이트 프로그램이 로컬 NAS(Network Attached Storage Device)에서 다운로드되도록 구성됩니다. 이 기능은 비즈니스 네트워크가 모든 시스템에 접근하지 않고도 업데이트를 관리할 수 있도록 설계된 것으로 보입니다. 인터넷에. 그러나 Eclypsium은 이러한 경우 동일한 네트워크에 있는 악의적인 행위자가 NAS의 위치를 ​​스푸핑하여 눈에 띄지 않게 자신의 악성 코드를 설치할 수 있다고 경고합니다.