하이드앤시크, 계속된 감염 기법 업그레이드로 수많은 기기 공략
이번엔 안드로이드 기기들마저 노리고 있어...공격자의 목적은 아직 몰라

[보안뉴스 문가용 기자] 최근 발견된 하이드앤시크(Hide ┖N Seek) 사물인터넷 봇넷이 새로워졌다. 이젠 안드로이드 장비들도 공격이 가능하다고 한다. 하이드앤시크는 지난 1월 비트디펜더(Bitdefender)가 발견해 발표했는데, 당시는 주로 가정용 라우터들과 IP 카메라를 감염시키고 있었다. 텔넷을 통해 브루트포스 공격을 하는 것이 주요 감염 방법이었다.


하지만 하이드앤시크는 업그레이드를 거쳐 익스플로잇을 주입하는 기능을 보유하게 되었다. 그러므로 보다 많은 장비들을 감염시키는 게 가능해진 것이다.

하이드앤시크는 이미 올해 5월에 다양한 익스플로잇과 공격 기법을 사용해 9만 대가 넘는 장비들을 감염시켰다. 그리고 7월 초 장비만이 아니라 오리엔트DB(OrientDB)와 카우치DB(CouchDB) 데이터베이스 서버들도 노리기 시작했다. 또한 홈매틱 젠트레일 CCU2(HomeMatic Zentrale CCU2)라는 스마트 홈 장비의 원격 코드 실행 취약점을 익스플로잇 하는 것도 발견됐다.

이런 하이드앤시크를 계속해서 추적해온 비트디펜더는 “가장 최근에 발견된 버전은 안드로이드 디버그 브리지(Android Debug Bridge, ADB)를 와이파이 기능을 통해 공격하고 있었다”고 한다.

ADB는 보통 트러블슈팅 목적으로 사용되는 것으로 디폴트 상으로는 비활성화 되어 있어야 하지만, 대부분의 안드로이드 장비에서는 활성화 되어 있다. 그러므로 하이드앤시크 공격이 TCP 포트 5555번을 통해 이뤄질 수 있게 된다. 장비 제조사들이 ADB를 비활성화시키는 걸 잊은 채 물건을 출시해서 생기는 문제다.

비트디펜더의 수석 사이버 보안 분석가인 리비우 아르센(Liviu Arsene)은 “이렇게 ADB를 열어두면 원격에서 이뤄지는 장비와의 연결에 있어서 승인이 필요 없게 되며, 셸 접근이 허용된다”며 “그러므로 공격자들이 관리자 모드에서 거의 모든 일을 할 수 있게 된다”고 설명한다.

ADB가 활성화 된 채로 시장에 나온 장비를 노리고 등장한 멀웨어는 하이드앤시크가 처음은 아니다. 지난 7월 암호화폐 채굴을 목적으로 사물인터넷 장비들을 활용하려는 봇넷 멀웨어가 ADB를 통해 장비들을 감염시키는 게 목격되기도 했다.

이 새로운 기능을 통해 하이드앤시크는 앞으로 최소 4만 대 정도의 기기들을 감염시킬 수 있을 것이라고 아르센은 보고 있다. “감염이 이뤄진 기기들은 거의 대부분 대만, 한국, 중국에 있는 것으로 밝혀졌습니다. 미국과 러시아에도 낮은 감염율이 나타났습니다.”

“안드로이드 기기라고 해서 스마트폰만 생각해서는 안 됩니다. 와이파이 기능을 통해 ADB 기능을 발휘할 수 있는 스마트TV, DVR도 위험합니다.” 아르센의 설명이다. “현재 하이드앤시크 공격자들은 최대한 많은 장비들을 자기 휘하에 두기 위해 애쓰고 있습니다. 그래서 새로운 감염 방법을 계속해서 추가하는 것이죠. 그러나 아직까지 봇넷을 형성하는 진짜 목적이 무엇인지는 확실하지가 않습니다.”

3줄 요약
1. 사물인터넷 봇넷, 하이드앤시크, 계속된 업그레이드 거친다.
2. 이번 업그레이드는 안드로이드의 ADB 공격하는 것.
3. 하이드앤시크 공격자는 최대한 많은 기기 끌어들이려고 노력하는 중. 목적은 불확실.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>