새로 발견된 크로스 플랫폼 멀웨어 ‘카오스(Chaos)’가 디도스 공격용 자원을 리눅스, 윈도 등에 확산하는 추세이다.
테크 전문 매체 지디넷에 따르면, 카오스를 유포한 공격은 온라인 게임 기업과 암호화폐 거래소, 다른 디도스형 서비스 공격(DDoS-as-a-service)을 겨냥하며, 프로그래밍 언어 고(Go)로 작성되었다.
멀웨어는 멀티플 칩 아키텍처를 지원하여 라우터, 사물인터넷(IoT) 기기, 스마트폰, 기업용 서버에 남아 있을 수 있다. 미국의 인터넷 인프라 기업 루멘(Lumen)의 사이버 보안 팀 블랙 로투스 랩스(Black Lotus Labs)은 x86, x86-64, MIPS, MIPS64, ARMv5-ARMv8, AArch64와 PowerPC 등이 카오스의 사이버 보안 침해에 취약하다고 경고했다.
카오스는 이미 네트워크 내에 근거지를 마련하려 방화벽 장치에 알려졌으나 여전히 패치 작업이 되지 않은 취약점을 이용한다. 화웨이의 가정 및 기업용 HG532 무선 라우터의 핵심적인 원격 코드 실행 취약점이 이에 해당한다.
루멘은 카오스가 중국 해커 세력의 역설계가 어려운 고 언어를 이용한 것으로 본다. 루멘은 지금까지 카오스의 샘플 100가지를 발견하였으며 이들은 오퍼레이터가 프로파일을 호스트하고, 기기에 원격으로 명령을 보내며 새로운 기능을 추가하고 SSH 키를 유추하여 네트워크에서 확산한 후 디도스 공격을 개시한다.
카오스는 최근, 게임과 금융 서비스 및 기술, 미디어, 엔터테인먼트 분야의 사이트의 디도스 공격에 악용되었다. 일부 가상자산 거래소를 겨냥한 공격도 개시한 것으로 관측됐다.
루멘은 “카오스 멀웨어는 다양한 소비자 및 기업용 기기에서 실행할 수 있으며, 다목적 기능, 사이버 공격 의도로 잠입하는 프로필 등을 고려한다. 이를 고려하면, 해커 세력이 기기 보안 문제를 일으켜 디도스 공격과 암호화폐 채굴에 이용하려는 것을 확인했다”라고 말했다.
또한, 카오스가 리눅스 특화 사이버 보안 연구자 멀웨어머스트다이(MalwareMustDie)가 2020년에 발견했던 카이지 IoT 멀웨어(Kaiji IoT malware)의 새로운 버전일 가능성도 제기했다. 당시 카이지는 다른 IoT 멀웨어가 C 혹은 C++로 작성된 것과 다르게 고 언어로 작성되어 특징적이었다.
루멘은 카오스가 호스트 기기에 설치된 후 임베디드 커맨드 앤드 컨트롤 서버(command and control, C2)와 통신한다고 전했다.. 호스트는 스테이징 명령을 수신하여 취약점 혹은 SSH 키를 악용해 확산된다.
한편, 카오스 공격은 지금까지 유럽에서 집중적으로 발생했으나 루멘은 북미와 남미, 아시아 태평양 지역도 피해 발생 범위에 해당할 가능성을 제시했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
