해외 보안 트렌드

아이폰 비밀번호 우회 취약점으로 앨범에 접근 아무 번호로 사진 전송이 가능

최신 iOS 12 버전을 사용하는 모든 아이폰에 해당 됨

출처 : https://thehackernews.com/2018/10/iphone-lock-passcode-bypass.html"

Octopus Trojan 중앙아시아 외교기관 타겟 공격

- 목적: 텔레그램을 이용한 공격으로 카자흐키스탄 등 구 소련 국가들의 서비스를 마비를 시도 (러시아 전역에서 텔레그램 사용 금지)

- 공격자: DustSquad 라는 러시아 언어기반 스파이 그룹 소행으로 추정(이 그룹은 수년째 중앙 아시아를 대상으로 활동함)

- 공격내용: Octopus Trojan: 윈도우 대상 악성 프로그램.

카자흐키스탄 반대파 전용 텔레그램 앱으로 가장(실제 존재하지않음). ""DVK-Democratic Choice of Kazakhstan""파일에 Octopus Trojan 심어놓음 (카자스키스탄은 지난 4월 텔레그램에 카자흐키스탄 반대파(DVK)가 만든 모든 컨텐츠를 삭제하지 않으면 텔레그램 사용을 금지선언함) 시작 프로그램은 해당 지역의 잘알여진 반대 정치세력의 심볼을 사용하여 위장

- 공격영향: 패키지가 설치 되면, 공격자는 감염된 컴퓨터를 원격으로 조정가능(스파잉, 정보 유출,백도어 접근 가능)

출처 : https://www.zdnet.com/article/octopus-trojan-exploits-telegram-ban-to-snag-targets-across-asia/"

<공격최초시점>

2018년 8월

<동작원리>

가짜 URL을 사용자가 누를시 공식 아도비 업데이트를 실시.

공식 아도비 설치 팝업 메세지를 이용하였으며, 

업데이트 파일에 숨겨진 모네로 마이닝 봇 XMRig을 설치하게 함

감염된 PC는 모네로 마이닝을 실시한 뒤, 실제 최신 Flash 업데이트를 실시함

이러한 형태의 샘플은 현재까지 113개 발견

이렇게 마이닝된 모네로는 모두 1개의 지갑으로 전송됨.

<특이점>

사용자는 아도비 업데이트의 유효성을 알길이 없음. 

크립토젝킹(cryptojacking)과 플레시 업데이티, 이 두가지 형태의 공격을 하나로 융합한 사례

*아도비 측은 아직 아무런 반응이 없는 상태임.

출처 : https://www.hackread.com/fake-flash-update-cryptomining-malware/

추가보도 : https://www.bloomberg.com/news/articles/2018-10-09/new-evidence-of-hacked-supermicro-hardware-found-in-u-s-telecom?srnd=technology-vp

Yossi Appleboum - 과거 Israeli Army Intelligence Corps  tech 부서에서 일함

현재 co-chief executive officer of Sepio System in Gaithersburg, Maryland (https://www.sepio.systems/)

  :하드웨어 보안 전문업체로 미국 메이저 telecommunications 회사들의 대규모 data center를 스캔하는 일을 맡음

(multiple rogue electronics detected on the netowrk and alerted client's security team in August, which then removed them for analysis.)

Documents, analysis and other evidence of 2013-2015년동안 중국 보안국이 subcontractor를 시켜 슈퍼마이크로 서버 마더보드에 스파이침을 심도록 지시했다는 증거를 제공함.

슈퍼마이크로 서버의 이상 트래픽과 하드웨어 정말 검사를 거쳐 서버의 Ethernet connector에 스파이칩이 삽임돼어 있는 것을 발견

기밀유지 계약에 따라 Appleboum은 정확히 어느 회사의 서버에서 발견했는지 밝히지 않음.

Ethernet 커넥트 조작은 2013년 유출된 U.S. National Security Agency가 사용했던 방식과 유사함

<기술적부분> 거의 없음

One of the few ways to identify suspicious hardware is by looking at the lowest levels of network traffic. Those include not only normal network transmissions, but also analog signals -- such as power consumption -- that indicate the presence of a covert piece of hardware

각각의 정상 서버장치와 조작된 장치가 하나의 장치로 나타남. 

정상 서버장치는 한 방향 통신을 하여 조작된 장치와 통신을 하나, 모든 트래픽이 신뢰하는 한 장비로부터 오는 것처럼 나타나 보안 필터를 통과 할 수 있음. 

<다른 사람들로 부터 Appleboum이 전해 들은 말>

서방 보안국이 자기한테 말해주길

슈퍼마이크로사의 광정우에 위치한 하도급 공장에서 장치가 만들어졌음. 광저우는 심천에서 90마일 떨어진 곳으로 '하드웨어의 실리콘벨리'라고 불리는 곳으로 '텐센트 홀딩스'와 '화웨이'가 있는 곳이기도 함.

조작된 하드웨어는 다수의 슈퍼마이크로 서버를 사용하는 시설에서 발견되었으며, 기술자는 조작된 서버를 통해 어떤 데이터가 유출됬는지 알 지 못한다고 함

FBI에 이와 같은 사실을 신고했는지 알수 없으나, FBI는 이 사안에 대해서 노코맨트함

<대외 반응>

FBI : 노코맨트

AT&T, Verizon, Sprint : 자신들은 슈퍼마이크로사의 장비를 쓰지 않는다고 밝힘. 영향성 없다고 함

T-Mobile: 아직 아무 반응없음

<제보자가 하고 싶었은 메세지> 

하드웨어 보안의 경각심을 가져야한 다는 것이 이 사람의 주된 관점. 슈퍼마이크로사 한 회사의 문제가 아니라 하드웨어 산업전반이 

보안에 대해 다시한번 생각해봐야 한다는 취재에서 기사를 써주기를 원했으나, 블룸버그에서는 슈퍼마이크로사에 포인트를 계속 잡음

중국의 다른 회사가 제조한 컴퓨터 하드웨어 부품에서도 비슷한 하드웨어 조작을 목격했다고 말함.

중국내 제조 공정에서 이와 같은 조작이 이루어질 수 있는 가능성에 수도 없으며, 원인을 찾는 것은 불가능함. 

출처 : https://www.bloomberg.com/news/articles/2018-10-09/new-evidence-of-hacked-supermicro-hardware-found-in-u-s-telecom?srnd=technology-vp

https://www.servethehome.com/yossi-appleboum-disagrees-bloomberg-is-positioning-his-research-against-supermicro/

자동차 디지털 해킹에 따른 차량 절도 범죄 증가

MoneySupermarket는 자동차 키가 사라지고 원격으로 자동차에 제어 할 수 있게 도면서 자동차 절도 범죄가 늘고 있다고 밝혔다.

신호 증폭기를 이용한 차량 절도는 집 내부에 있는 자동차 버튼키의 시그널을 절도범1이 현관문 앞에서 신호 수신기 박스를 들어 그 신호를 받아,목표 자동차 가까이에 있는 또 다른 절도범2가 신호 박스로 신호를 전달 받으면 자 자동차는 이를 실제 키가 가까이 있다고 인지하고 문을 열어주는 원리로 절도가 이루어진다.

<신호 증폭기를 이용한 차량 절도에 취약한 차종>

Audi: A3, A4, A6

BMW: 730d

Citroen: DS4 CrossBack

Ford: Galaxy, Eco-Sport

Honda: HR-V

Hyundai: Santa Fe CRDi

Kia: Optima

Lexus: RX 450h

Mazda: CX-5

Mini: Clubman 

Mistubishi: Outlander

Nissan: Qashqai, Leaf

Vauxhall: Ampera

Range Rover: Evoque

<절도 유형 7가지>

1. 신호 증폭기를 이용

집 내부에 있는 자동차 버튼키의 시그널을 절도범1이 현관문 앞에서 신호 수신기 박스를 들어 그 신호를 받아,목표 자동차 가까이에 있는 또 다른 절도범2가 신호 박스로 신호를 전달 받으면 자동차는 이를 실제 키가 가까이 있다고 인지하고 문을 여는 방식

2. 자동차 잠금신호가 차량에 도달하지 못하게 함

자동차 키의 잠금신호가 차에 도달하지 못하게 해, 자동차 문이 계속 열려있게 하고 절도하는 방식.

3. 타이어 압력 모니터 시스템

자동차 타이어 속의 센서를 이용한 공격. 차량을 추적하고 계기판에 조작된 타이어 압력이 표기되도록 하여 운전자가 절도범이 범행을 계획하는 차고지 등에서 타이어를 확인하도록 유도하는 방식.

4. 앱 결점을 이용한 로컬 원격 조정

인터넷에 연결된 차량들은 특히 연결된 서버의 설정이 잘못되어 있거나, 조작될 시, 해커가 가까이에 있는 차량의 위치를 파악하여 잠금 장치를 풀고 엔진을 시작할 수 있음.

5. 조작부 네트워크를 이용 안전 요소들을 무력화

해커는 자동차의 Wi-Fi 혹은 휴대전화 연결 취약점을 통해 내부 차량 네트워크에 접근해 'DoS(서비스 거부) 신호'를 보내 자동차의 에어백, ABS시스템, 심지어 자동차 문의 잠금 장치도 무력화할 수 있음

6. 온보드 점검 포트 해킹

자동차에는 차내 차량 내부 데이터에 액세스 할 수 있는 '온보드 진단 포트'기능이 있어 자동차의 서비스 라이트 결함 및 새로운 새로운 자동차 액세스 키를 만들 수 있음. 이 포트를 이용하면 새로운 키를 만드는데 50파운드(한화로 약7만 5천원)이면 가능함.

7. 폰 피싱

자동차 내에서 와이파이를 사용한다며 해커는 피싱 방법을 사용할 수 있음. 사용자의 이메일에 악성코드 앱/웹사이트 링크를 보내, 링크를 오픈 시 사용자 정보를 해킹하고, 나아가 휴대전화 내의 앱, 자동차 기기도 해킹도 가능함.

출처 : https://www.msn.com/en-ie/cars/news/seven-ways-hackers-can-steal-your-keyless-car-in-seconds-and-owners-of-high-risk-vehicles-could-see-insurance-costs-spiral/ar-BBNXRkJ?li=BBr5RWG

Supermicro China chip Scandal 기사 오보 의혹

Joe Fitzpatrick 하드웨어 보안전문가로 블룸버그 최초 기사에 유일하게 밝혀진 출처

<의혹1>

블룸버그 기사를 낸 2기자는 사이버보안과 관련해 입증하지 못하는 기사를 낸 경우가 많음 

다른 미디어와 해당 정부기관이 완강하게 기사 내용이 사실이 아니라고 밝힌 경우가 대부분임 

<의혹2>

17 익명의 제보자가 제공한 해킹의 기술적 부분이라고 서술된 내용은  Joe Fitzpatrick 말하길 자신이 인터뷰에서 설명한 하드웨어 해킹 가설과 완벽하게 일치함.(이 엔지니어는 블랙햇,데프콘에서 하드웨어 해킹이 어떻게 되는지 강연 한적이 있는데 거기서도 똑같은 내용을 이야기했었음)

<의혹3>

Joe Fitzpatrick 소속된 그룹이 없으며 혼자 활동하는 사람임. 기사에서 언급된 17명의 익명의 제조자들이 기술적인 부분에 대해서 확인 했다는 것이 매우 의심 스러움.

<의혹4>

Joe는 블룸버그 기사의 내용이 매우 비현실적이라고 이야기함 

자신은 하드웨어 전문가이기 때문에 모든 해킹을 하드웨어적인 관점에서 설명한다고 이야기했고 

따라서 하드웨어 해킹 가설을 이야기 했는데, 사실 칩 삽입없이도 대부분 서버 펌웨어 자체가 대부분 오래되고 취약하기 때문에 펌웨어 자체를 조작해 해킹하는게 더 현실적이고 상식적인 공격이라고 주장함(기사에서 말한 공격을 위해 해킹 칩을 넣는다는 자체가 현실적으로 이해가 가지 않음)

하드웨어는 해킹을 위해 악성 코드를 지속가능하게 하는 등의 서포트 용도로 사용 되지  

하드웨어를 가지고 모든 공격을 할 수 있다는 것이 아님

<의혹5>

또한 기사에 사용된 사진은 이 엔지니어가 기술적인 내용을 설명하기 위해 블룸버그 측이 요청해서 자신이 제공한 사진을 그대로 썻다함

총평: 기술적으로 완전하게 틀린 것은 아니나 모든 것은 가설적으로 가능한 것이고, 17명의 익명의 소스가 누군지 알 수 없음. 매우 의심스러움

구글 50만명의 사용자 정보 유출로 인해 Google+ 소셜 미디어 네트워크를 폐쇄 결정

 유저네임, 이메일, 직업 생일, 프로파일 사진, 성별 등이 유출됨

 구글 플러스 서버는 API 관련 로그를 2주이상 보관하지 않기 때문에 해킹으로 인해 정확히 몇 명의 피해자가 있는지 알 수 없음

 구글 측에서는 개발자나 회사차원에서 이러한 버그를 알지 못했다는 점, 유출된 자료를 438명의 개발자들이 접근할 수 있었거나, 악의적으로 사용하지 않았다는 것을 확인함

 취약점 최초 발견 시점 : 2015년부터 오픈되어 있었으며 2018년 3월에 해결함. 그 당시 페이스북이 UK 캠브리지 애널리티카 스캔들 관련해서 비난받고 있던 시점이라 공개적으로 알리지 않고 숨김

출처 : https://thehackernews.com/2018/10/google-plus-shutdown.html

Dell BMC iDRAC 14th Generaion Plan

*BMC: 임베디드 컴퓨터로 서버 하드 속에 설치되어 'remote administrator(원격제어)'역할을 수행 함.

*iDRAC: PowerEdge 서버의 모든 제어가 가능한 작은 리눅스 컴퓨터. “integrated Dell Remote Access Controller unauthorized load access”

<중요성>

 서버 전원 온/오프 부터, 소프트웨어로 통제되는 USB 드라이버가 메인 프로세서에 연결된 가상 USB포트로 인식되게 할 수 있음

 (-> 원격 디스크 이미지를 가지고 서버를 부팅할 수 도 있고, OS가 돌고 있는 동안 가상 오토런 USB 스틱을 삽입도 가능하며, BIOS/펌웨어를 지워 서버가 부팅되지 않도록 할 수 있고, 심지어 모든 fan을 꺼 오버히팅을 발생시켜 서버에 영구적이 피해를 입힐 수 있음.)

<취약점>

 서버의 직접적인 접근은 매우 쉬움

 원격으로는 유효한 로그인이 필요함.

 서버에 한번 접근시 그 서버의 모든 제어가 가능함.

 iDRAC 8~13 버전 서버: BMC 펌웨어 이미지를 조작이 가능한 하드웨어와 원격접근 가능성 두가지를 모두 가지고 있음

펌웨어 이미지 조작은 iDRAC 유저와 OS가 감지할수 없는 지속적인 원격과 통제된 접근 허용이 가능케 함

https://github.com/Fohdeesha/idrac-7-8-reverse-engineering/blob/master/README.md

<해결방안>

 안티바이러스 전무, 유일한 방법은 사용자가 iDRAC의 완벽한 루트 접근을 가지고 있어 스스로 해킹을 당하고 있는지 확인하는 수 밖에 없음. 

이 또한 Dell이나 다른 제조회사차원에서 모든 사람들에게 루트 접근을 막아 놓아기 때문에 불가능함. 

따라서 임베디드 컴퓨터(iDRAC)가 무엇을 하는지 확인할 수 있는 방법이 없음.

* 최신 iDRAC 14버전은 이 취약점을 해결되서어 생산되는 중. 이전의 버전들과 똑같이 서버의 모든 것을 컨트롤 할 수 있지만 접근이 더욱 어렵도록 업데이트 됨 

 <시사점>

 Dell은 다른 제조사들에 비해 서버 보안에 많은 투자를 하는 편임.

 BMC 임베디드 컴퓨터는 대부분의 서버에 사용이 되고 다른 제조사들의 서버들도 비슷한 취약점을 가질 것으로 예상이 되며,

 상대적으로 작은 제조회사들은 이에 대한 대응이 원활하지 않을 것으로 보임.

 루트 권한이 없는 유저가 피해를 확인하거나 예방하는 것이 불가능하기 때문에 BMC 취약점은 서버 산업 전체를 위협할 수 있음.

출처: https://www.servethehome.com/idracula-vulnerability-impacts-millions-of-legacy-dell-emc-servers/"