윈도우용 Hola 브라우저, 암호채굴기 배포 위해 해킹당함
Hola Browser의 Windows 버전이 공급망 공격에 의해 손상되어, 연구진이 암호화폐 채굴기로 확인한 선언되지 않은 실행 파일이 전달되었습니다.
이 손상은 이전에 통과했던 AppEsteem 인증 테스트 절차의 일환으로 진행된 Hola Browser 정기 인증 검사 중에 발견되었습니다.
Hola는 이스라엘 기업으로, 주로 Hola VPN으로 알려져 있습니다. 이 서비스는 사용자가 다른 사용자의 장치나 유료 프록시 인프라를 통해 인터넷 트래픽을 라우팅하여 지리적 제한을 우회하고 다양한 국가의 콘텐츠에 접근할 수 있게 해줍니다.
Hola Browser는 Chromium을 기반으로 하며 VPN 및 프록시 기능을 브라우저에 직접 통합하고 있습니다.
이 회사와 제품은 과거에 상업 서비스인 Luminati Networks의 운영과 관련된 불투명한 트래픽 처리 방식 때문에 논란이 있었습니다. 해당 서비스는 무료 사용자를 프록시로 전환했습니다.
최신 앱 무결성 검사에서 Sophos와 평가 과정에 참여한 기타 사이버 보안 업체들은 C:\Program Files\Hola\ 경로에 me.exe라는 선언되지 않은 실행 파일이 일부 경우에 설치되는 것을 발견했습니다.
이 파일은 인증되지 않았으며, 타임스탬프가 없고, 디지털 서명이 없으며, 난독화된 코드를 포함하고 메모리에 쓸 수 있었습니다.
자세히 조사한 결과, Sophos는 해당 바이너리가 Monero 암호화폐 채굴기임을 나타내는 흔적을 발견했으며, 문자열을 통해 그 실제 목적을 확인했습니다. 채굴기는 Windows Defender 예외 규칙을 추가하고, 자신을 HolaMonitorService.exe라는 이름으로 Program Files에 복사하며, hola_monitor_svc라는 자동 시작 Windows 서비스를 생성하고, 컴퓨터가 유휴 상태일 때 실행됩니다.
Hola의 대응
Hola는 AppEsteem으로부터 이 사실을 통보받았으며, 공급망 침해가 발생했음을 확인했으며, 이는 사이버 보안 업체 Sygnia에서도 독립적으로 감지되었습니다.
그럼에도 불구하고, 소프트웨어 공급업체는 전체 사용자 중 약 0.1 %만 영향을 받았으며, 사용자 데이터에 대한 접근, 도난 또는 손상의 증거는 없다고 밝혔습니다.
“우리는 이후 배포 파이프라인을 완전히 재구축하고, 고급 코드 서명 검증을 구현했으며, 인프라 전반에 걸쳐 더 엄격한 접근 제어와 지속적인 모니터링을 도입했습니다.”라고 Hola의 CEO인 Avi Raz Cohen이 확신했습니다.
“이러한 조치는 선언되고 인증되며 서명된 구성 요소만이 사용자에게 전달되도록 보장하기 위한 것입니다.”
BleepingComputer는 Hola에 침해가 어떻게 발생했는지, 가해자는 누구인지, 다른 플랫폼의 클라이언트에도 영향을 미쳤는지 등에 대한 추가 정보를 요청했지만, 현재까지 회신을 받지 못했습니다.