새로운 IoT 봇넷 ‘dark_nexus’…한국 포함 1천300여 대 감염 기기로 작동

2020-04-09     길민권 기자

올해 초부터 활동을 시작한 새로운 IoT 봇넷 ‘dark_nexus’가 발견됐다. 라우터, 영상 레코더, 열 화상 카메라 등을 포함해 다양한 IoT 기기를 대상한 공격이 감지됐다.

‘dark_nexus’에 대해 분석 결과를 공개한 비트디펜더 연구원들은 이 봇넷이 큐봇(Qbot) 및 미라이(Mirai) 코드를 재사용했지만 핵심 모듈은 독창적인 것이라고 전했다.

특히 기존 IoT 봇넷들과 일부 기능이 유사하지만 훨씬 강력한 봇넷이라고 밝히고 현재 1천300대가 넘는 기기가 연결돼 있으며 주로 중국, 한국, 태국, 브라질, 러시아 등의 기기에서 감염이 이루어졌다고 밝혔다.

‘dark_nexus’ 페이로드는 12개의 서로 다른 CPU 아키텍처에 맞게 컴파일되어 피해자의 구성에 따라 동적으로 확산되는 형식이다.

한편 dark_nexus는 수년간 DDoS 서비스 및 봇넷 코드를 판매해온 알려진 봇넷 작성자’헬리오스(Helios)’가 개발 한 것으로 추정된다. 그는 유튜브를 통해 자신의 경력과 봇넷을 홍보하고 있는 것으로 파악됐다.

★정보보안 대표 미디어 데일리시큐!★