로그인 바로가기

중앙 내용으로 바로가기

한국디지털융합직업전문학교

본문내용

본문

정보보안&해커 뉴스
+ Home > 입학신청 > 정보보안&해커 뉴스
리눅스 서버 훔쳐 채굴하는 자들, 이미 7만 4천 달러 벌어
  • 작성자
    황혜리
  • 등록일
    2018-03-30 10:24:59
    조회수
    388

 

리눅스 서버에 있는 오래된 오픈소스 취약점 통해 들어와 채굴 시작
말도 되지 않게 허술한 서버에서만 공격 허용...업데이트로 방어 가능



해킹된 테슬라 AWS 서버와 젠킨스(Jenkins) 서버에서 암호화폐 채굴을 하던 사이버 공격자들이 이번에는 리눅스 서버를 노리고 비슷한 공격을 감행하던 것이 발각됐다. 발견 당시 이미 7만 4천 달러 이상의 모네로를 채굴한 것으로 나타났다.
 

[이미지 = iclickart]


이들이 최근 공격에서 사용하고 있는 건 합법적인 오픈소스 채굴 코드인 XM리그(XMRig)다. 이 코드를 심기 위해 익스플로잇하는 건 아주 오래된 취약점인 CVE-2013-2618이다. 이 취약점은 Cacti의 네트워크 웨더맵(Network Weathermap) 플러그인에서 발견된 것dmfh, 0.97b 이전 버전의 editor.php에 있는 XSS 관련 오류다. 원격의 공격자들이 임의의 웹 스크립트나 HTML을 주입할 수 있게 해준다.

현재도 진행 중인 이 채굴 캠페인은 주로 일본, 대만, 중국, 미국, 인도에서 발견되고 있다.

왜 공격자들이 갑자기 오래된 보안 취약점을 노리기 시작했을까? 보안 업체 트렌드 마이크로(Trend Micro)는 “네트워크 웨더맵이 여태까지 딱 두 개의 취약점만 공개했다는 것에 그 이유가 있는 것 같다”고 말한다. 사람들이 크게 신경쓰지 않을 가능성이 높은 취약점이라는 것이다.

“또한 그 두 가지 취약점이 모두 2014년 6월에 공개됐습니다. 오래된 취약점이고, 좀처럼 공개되지 않는 플러그인에서 나온 것이니 패치가 없거나 잘 적용되지 않은 채 사용되고 있을 것이라 기대했을 듯 합니다. 실제로 기업들은 오픈소스에 대한 업데이트를 충실하게 관리하지 않습니다.”

트렌드 마이크로는 이 공격자들의 활동을 추적했고, 두 개의 사용자 이름을 찾아낼 수 있었다. 두 사용자 이름에는 두 개의 모네로 지갑이 연결되어 있었고, 3월 21일까지 총 74,677달러가 들어 있었다. 이들은 이전에 테슬라를 해킹하여 서버에 침투한 뒤 3백만 달러 이상을 채굴한 바 있다.

다른 회사의 서버에 들어가 채굴을 실시해서 큰 돈을 벌었다고 하지만, 그 과정이 결코 쉬운 건 아니라고 트렌드 마이크로는 블로그를 통해 설명한다. “공격이 성립되는 곳이 있고 아닌 곳이 있어요. 그러니 공격이 통할 만한 곳을 잘 찾아내는 것부터 선행되어야 하죠.”

이번 공격에 한해서 이 전제 조건이란 1) 리눅스 x86-64를 운영하는 웹 서버가 있을 것, 2) 그 서버가 인터넷을 통해 접근 가능할 것, 이다. 또한 3) 그 서버에 0.97a 및 그 이전 버전의 네트워크 웨더맵 플러그인이 설치되어 있어야 함은 물론이다. 이 모든 조건이 성립하고 공격이 성공을 거두면 공격자는 루트 권한을 갖게 된다.

트렌드 마이크로의 연구원들은 “이러한 전제 조건이 성립된 곳이 있다는 것 자체가 재미있는 일”이라고 표현한다. “리눅스 서버를 운영하는 웹 서버야 당연히 있을 수 있습니다. 하지만 그런 서버가 인터넷을 통해 열려 있다? 그런 경우가 있을 수 있습니다. 그런데 거기다가 플러그인을 통해 네트워크 데이터를 공유까지 한다? 어떻게 그런 서버가 있을 수 있을까요? 그런데 있으니까 공격자들이 큰 돈을 번 것이겠죠.”

트렌드 마이크로는 “서버를 그런 식으로 설정했을 경우 서버를 모니터링 하는 것이 훨씬 편리해지기는 한다”며 “관리를 담당한 사람이 특수한 상황에서 관리를 위해 그런 식으로 설정해두었을 수도 있다”고 가설을 세웠다.

“그러니 방어가 어렵지는 않습니다. 시스템 내 인터넷 연결 옵션을 정리하고 애플리케이션들을 전부 업데이트하는 겁니다.” 

 

 

 

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

[국제부 문가용 기자(globoan@boannews.com)]

#리눅스   #서버   #채굴   #모네로

 

 

목록보기
답글달기수정하기
삭제하기

관련 쪽지글