이것은 쉽게 무너뜨릴 수 없을 겁니다.
자기 복제 소프트웨어인 웜(worm)은 사이버 보안 분야에서 흔히 목격되는 현상입니다. 하지만 해킹 그룹이 단순한 금전적 이익이라는 일반적인 목표에서 벗어나, 특정 국가(본 사례에서는 이란)에 위치한 기계를 일괄 삭제하는 동시에 새로운 제어 메커니즘을 사용하는 경우는 이례적입니다.
최근 결성된 것으로 보이는 TeamPCP 집단은 지난 12월, Docker, Kubernetes, Redis, Next.js 등 일반적으로 사용되는 클라우드 호스팅 인프라 소프트웨어를 목표로 삼아 언론의 주목을 받았습니다. 이 그룹의 주요 목적은 랜섬웨어 및 갈취 공격 등 다양한 악성 작전을 실행하는 데 사용할 프록시 네트워크를 구축하는 것으로 추정됩니다.
포토닉스와 고속 데이터 이동이 차세대 AI 병목 지점
데이터 센터 냉각 현황
대규모 AI 데이터 센터 구축이 에너지 공급에 부담 가중
지금까지 팀의 활동은 주로 금전적 이득과 관련되어 있었으나, 'CanisterWorm'이라는 이름의 최신 버전 소프트웨어는 시스템의 시간대를 감지하여 해당 기계가 가진 모든 데이터를 완전히 삭제합니다. 모든 Kubernetes 호스트는 클러스터 내의 모든 기계를 삭제하며, 유형과 무관하게 표준 VM에는 "rm -rf / --no-preserve-root" 명령이 실행됩니다. 만약 해당 기계가 이란의 것이 아니라면, 감염 및 확산은 기존 방식대로 계속됩니다.
이란 해커가 중요 인프라를 공격하자 미국 사이버 보안 기관, 긴급 경고 발령
Nitrogen 랜섬웨어의 버그, 피해자 데이터 영구 손실 초래
기생충에게는 이미 작동하지 않는(죽은) 호스트가 쓸모가 없기 때문에, 데이터 삭제의 즉각적인 동기는 없는 것으로 보입니다. 아이키도 연구원인 찰리 에릭슨(Charlie Eriksen)은 KrebsOnSecurity에 성명을 통해, 해당 그룹이 단지 과시용 행동을 보인 것이며, 실제로 공격에 참여한 시스템보다 훨씬 더 많은 시스템에 대한 자격 증명(credentials)을 보유하고 있을 가능성이 있다고 추측했습니다.
가장 최근의 공격은 지난 주말에 시작되었으며, 많은 개발자들이 소프트웨어 배포 인프라의 일부로 사용하는 Trivy 오픈 소스 취약점 스캐너 소프트웨어의 해킹을 통해 시작되었습니다. Trivy를 사용했던 Node.js (npm) 패키지의 배포 자격 증명이 탈취되었고, 이를 발판 삼아 악성 코드는 다른 npm 패키지들로 확산되며, 표준 시스템 서비스로 위장하는 수많은 백그라운드 프로세스를 설정했습니다.
이 공격이 기술적으로 독특한 점은, 악성 코드 네트워크 운영자들의 '명령 및 제어(C2)' 인프라 — 즉 '제어판' — 가 ICP(Internet Compute Project) 캐니스터에 게재된 데드 드롭(dead drop) 형태로 이용되었다는 점이며, 이것이 CanisterWorm이라는 이름의 유래입니다. 캐니스터는 스마트 계약의 한 유형으로, 분산적 특성 덕분에 다운시키기 매우 어려운, 블록체인에 호스팅된 소규모 코드 및 데이터 세트입니다.
비트코인이나 이더리움 같은 암호화폐 블록체인과 달리, ICP의 참가자들은 엄격한 신원 확인 및 심사 과정을 거쳐야 하며 이를 운영하는 데 상당한 하드웨어를 제공해야 합니다. 추정치에 따르면, 100개 이상의 노드 제공업체와 34개국에 걸쳐 약 1,400대(활성 50%, 대기 50%)의 기계가 참여하고 있는 것으로 알려졌습니다.
ICP 프로토콜의 개방적인 특성상, 해당 캐니스터는 설계상 원래 생성 주체만이 작동시킬 수 있습니다. 또한 ICP는 악성코드 신고를 받지만, 네트워크가 예를 들어 정부의 요청으로 인해 다운되는 사태를 방지하기 위해 매우 높은 투표 문턱치(threshold)를 거치는 투표 과정을 거쳐야 합니다. 이 경우, TeamPCP는 공격이 공개된 것을 이유로 해당 캐니스터를 사실상 '무장 해제'한 것으로 보이지만, 이는 언제든지 재활성화될 수 있으며, 실제 완화 조치는 해당 주소에 대한 네트워크 수준 차단입니다.
최신 뉴스, 분석 및 리뷰를 받고 싶다면 Tom's Hardware를 Google News에서 팔로우하거나 선호 소스로 추가하세요.