암호화폐 채굴을 위해 쿠버네티스 클러스터를 표적으로 삼는 새로운 악성코드가 탐지됐다.
팔로알토 네트웍스의 사이버보안 연구소 유닛42는 힐데가르드(Hildegard)라는 악성코드를 지난달 발견했다고 최근 공식 홈페이지를 통해 밝혔다.
힐데가르드는 익명 접근을 허용하도록 잘못 구성된 큐블렛을 통해 쿠버네티스 접속권한을 확보한다. 확보한 접속코드로 연결된 최대한 많은 컨테이너 감염시킨 후 크립토재킹 작업을 시작한다.
크립토재킹은 감염된 서버 또는 네트워크에서 허가 없이 암호화폐를 채굴하도록 하는 공격 방식이다.
유닛42 연구원은 이 악성코드의 주요 문제점으로 리소스 하이재킹과 서비스 경고를 지적했다. 크립토재킹 작업으로 이내 전체 시스템의 리소스를 소모하고, 클러드터에서 사용 중인 애플리케이션을 중단시킬 수 있기 때문이다.
유닛42는 도커를 악용해 컨테이너에 접근하는 방식은 기존에 알려져 있었지만 쿠버네티스를 공격하는 방식은 힐데가르드를 통해 처음 확인됐다고 밝혔다.
해커들이 쿠버네티스를 노리는 이유는 동시에 대규모 컨테이너 및 컴퓨팅 자원에 접근할 수 있기 때문으로 분석된다.
힐데가르드는 초국가적위협(Transnational Threats), 일명 팀TNT라고 부르는 해커 그룹에서 제작된 것으로 추정되고 있다.
유닛24에 따르면 힐데가르드는 기존 팀TNT에서 만든 악성코드에 비해 탐지를 어렵게 하는 새로운 기능을 추가하고 있다. 명령 및 제어서버에 접근하기 위해 인터넷 릴레이 채팅과 tmate 리버스쉘의 두 가지 방식으로 동시에 사용하며, 접근을 위장하기 위해 리눅스 프로세스 명칭을 모방하기도 한다.
또한 호스트에서 다양한 유형의 정보를 수집하고 클라우드 액세스 키 및 토큰, SSH 키, 도커 자격 증명 및 큐버네티스 서비스 토큰을 포함하여 호스트에서 자격 증명을 수집한다.
보안 연구원은 “이 새로운 악성 코드는 쿠버네티스를 대상으로 하는 가장 복잡한 공격 중 하나”라며 “지금까지 팀TNT에서 본 것 중 가장 정교한 기술을 사용하고 기능이 풍부한 악성 코드”라고 밝혔다.
관련기사
- 북한 해커, 보안 전문가들 해킹했다2021.01.27
- 성균관대, 26시간 비대면 AI 북커톤 대회 개최2021.01.22
- "화이트해커 설 자리 부족한 현실 바꿔야"2020.12.30
- 유럽의약청, 사이버공격으로 코로나19 백신 정보 일부 유출2021.01.14
유닛42는 “코드베이스와 인프라를 확인했을 때 불완전해 보이며, 초기 탐지 이후 활동이 없다는 점으로 미뤄 보아 아직 정찰 및 무기화 단계에 있을 수 있다”며 “하지만 기능과 대상의 환경을 파악한 만큼 대규모 공격이 시작될 수 있다”라고 경고했다.
취약성 관리기업인 벌칸사이버의 텔 모건슨턴 최고제품책임자(CPO)는 “쿠버네트티스의 잘못된 구성과 취약점을 노리는 힐데가드를 막기 위해 데브옵스 및 IT팀은 외부 접근이나 고위험 취약성에 대해 우선순위를 정하고 중점적으로 관리해야 한다”면서 “보안팀과 긴밀한 협약이 필요하다”고 설명했다.
