본문 바로가기
IT-인프라,보안,네트워크

[IT/컴퓨터] 중국, 봇넷 맬웨어에 감염된 상태로 출시되는 PC들

by SB리치퍼슨 2012. 9. 24.

중국 판매 PC 20대 중 4대는 이미 백도어 맬웨어에 감염된 것





마이크로소프트는 중국에서 출하시 PC에 강력한 봇넷 맬웨어가 미리 설치되어 출시됐다는 놀랄 만한 증거를 공개하고 있다. 중국에서 맬웨어 조사를 행하는 Operation B70이 개시된 것은 2011년 8월의 일.

마이크로소프트 문서에는 디지털 범죄 유닛(DCU)이 중국내의 다양한 지역에서 20개 브랜드의 PC를 구입하여 조사를 행한 결과, 그 가운데 4대가 이미 설치된 백 도어형 맬웨어에 의해서 감염되었으며 그 가운데 하나는 이미 알고 있는 ‘Nitol’이라고 불리는 루트 킷이 포함되어 있다고 한다.

조사 팀이 Nitol의 활동을 추적한 결과, C&C 서버가 존재하고 있다는 사실이 밝혀졌다. 이 맬웨어에 감염되었던 PC가 보다 큰 봇, 필시 DDoS 공격을 시도하는 데 사용된 것을 찾아내었다고 한다.

USB 등의 removal media에 자기 자신의 복사를 남김으로써 Nitol은 미리 설치되었던 PC이외에도 확대되고 있다. Nitol에 의해서 C&C서버에서 맬웨어를 호스트된 경우, 맬 웨어 범죄자들에 있어서는 거의 모든 문제 행동이 가능하게 된다. 키 로거나 제어 웹 카메라, 검색 설정의 변경 등, 다양한 것을 범죄자 측이 원격 조작으로 행하게 된다.

마이크로소프트는 오랫동안 맬웨어가 PC 제조 중, 또는 제조 후 바로 PC에 설치되지 않았을까라는 의심을 갖고 있었다고 한다. 마이크로소프트는 조사 결과를 소개한 블로그에서 “특히 불안정한 것은 수송, 기업간 이동 등 Supply Chain의 어떤 시점에서 PC에 맬웨어가 설치되어 있다는 것이다”라고 강조하고 있다.

시큐리티 대책을 추가하기 전에, 누군가에 의해 제조시에 맬웨어가 설치되어 있다는 상황은 공정의 후방에서 시큐리티 대책을 추가하는 시큐리티 시스템 이 자체를 수정하지 않으면 안 된다. 게다가, End User가 이들에 의한 위험을 회피하는 데에는 기지의 안전한 이미지 파일을 사용해서 OS를 재 설치 하는 방법밖에 없다.

Operation B70은 PC의 시큐리티 상태가 원하지 않는 상황에 놓여있다는 점을 지적함과 동시에 Supply Chain에 있어서의 시큐리티 의문을 던지고 있다. Microsoft는 이미 지난 주 전반에、Nitol 봇 넷에 명령을 내리기 위해 사용되고 있는 C&C서버를 제어하기 위해 미국 재판소로부터 허가를 취득하였다고 한다. (Computer. 2012/09/17) [출처] 마이크로소프트, 중국에서 출하시부터 맬웨어 감염 PC 발견—공장에서 설치

반응형

댓글