사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아(www.estc.co.kr)는 Linux 플랫폼에서의 신종 위협인 Kobalos를 발견했다고 밝히며 주의를 당부했습니다.

ESET 연구원들은 HPC(고성능 컴퓨터) 클러스터인 슈퍼 컴퓨터를 공격해 온 맬웨어인 Kobalos를 발견했습니다. ESET은 CERN 컴퓨터 보안팀 및 이러한 과학 연구 네트워크에 대한 공격을 완화하는 데 관련된 기타 조직과 협력했습니다. 다른 대상 중에는 대규모 아시아 ISP, 북미 엔드 포인트 보안 공급업체 및 여러 비공개 서버가 있었습니다.

ESET 연구진은 Linux, BSD, Solaris, AIX 및 Windows를 포함한 많은 운영 체제로 이식 가능한 작지만 복잡한 맬웨어를 리버스 엔지니어링했습니다. “우리는 작은 코드 크기와 많은 속임수 때문에 이 악성 코드를 Kobalos라고 명명했습니다. 그리스 신화에서 Kobalos는 작고 장난꾸러기 같은 존재입니다.”라고 Kobalos를 조사한 Marc-Etienne Léveillé는 설명합니다. Léveillé는, “이 수준의 정교함은 Linux 맬웨어에서는 거의 찾아볼 수 없었습니다.”라고 덧붙였습니다.

Kobalos는 공격자의 의도를 드러내지 않는 광범위한 명령을 포함하는 백도어입니다. 간단히 말해서 Kobalos는 파일 시스템에 대한 원격 액세스를 허용하고 터미널 세션을 생성하는 기능을 제공하며 다른 Kobalos에 감염된 서버에 대한 프록시 연결을 허용합니다.”라고 Léveillé는 말합니다.

Kobalos에 의해 손상된 모든 서버는 운영자가 단일 명령을 전송함으로써 명령 및 제어(C&C) 서버로 전환될 수 있습니다. C&C 서버 IP 주소와 포트가 실행 파일에 하드 코딩되면 운영자는 이 새로운 C&C 서버를 사용하는 새로운 Kobalos 샘플을 생성할 수 있습니다. 또한 Kobalos에 의해 손상된 대부분의 시스템에서 보안 통신(SSH)을 위한 클라이언트는 자격 증명을 도용하도록 손상됩니다.

Léveillé는, “손상된 시스템의 SSH 클라이언트를 사용하는 사람은 누구나 자신의 자격 증명을 캡처하게 됩니다. 그런 다음 공격자는 이러한 자격 증명을 사용하여 나중에 새로 발견된 서버에 Kobalos를 설치할 수 있습니다." 라고 덧붙였습니다.

SSH 서버에 연결하기 위해 2단계 인증을 설정하면 도난당한 자격 증명을 사용하는 것이 다른 시스템으로 전파할 수 있는 방법 중 하나인 것처럼 보이기 때문에 위협을 완화할 수 있습니다.

Kobalos에 대한 자세한 기술 정보는 WeLiveSecurity의 블로그 게시물 "Kobalos – A complex Linux threat to high performance computing infrastructure"을 참조하십시오. ESET Research의 최신 뉴스를 보려면 Twitter에서 ESET Research를 팔로우 하십시오.