Photo by Trà My on Unsplash


인터넷에서 보호되지 않은 데이터베이스의 거의 모든 내용이 삭제되고 `Meow(야옹)`라는 고양이의 울음소리로 도배되는 `Meow Attack(야옹 공격)`이 보고되고 있습니다. 이미 4000여 개 가까운 데이터베이스가 야옹 공격에 의해 삭제되어 버렸다고 합니다.


New `Meow`attack has deleted almost 4,000 unsecured databases

https://www.bleepingcomputer.com/news/security/new-meow-attack-has-deleted-almost-4-000-unsecured-databases/


Ongoing Meow attack has nuked > 1,000 databases without telling anyone why | Ars Technica

https://arstechnica.com/information-technology/2020/07/more-than-1000-databases-have-been-nuked-by-mystery-meow-attack/


보안연구의 밥 디아첸코 씨는 2020년 7월 1일 홍콩을 거점으로 하는 VPN제공자 UFO VPN의 데이터베이스가 인터넷에 보호되지 않은 상태로 공개되어 있었다는 것을 깨달았습니다. 이 데이터베이스에는 일반텍스트로 계정의 비밀번호, VPN세션 토큰, VPN서버의 IP주소, 연결의 타임스탬프, 지오태깅 등이 포함되어 있었다고 합니다.



디아첸코 씨가 UFO VPN에 즉시 경고를 하여 데이터베이스는 보호되었습니다만, 2020년 7월 20일에 다시 UFO VPN의 데이터베이스가 다른 IP주소로 공개되어 버렸습니다. 게다가 다른 IP주소로 다시 게시된 데이터베이스에는 7월 19일 시점에서의 데이터 차분이 추가되어 있었다고 합니다. 또한 2020년 7월 21일 이 데이터베이스의 내용이 대부분 삭제되고 "meow"라고 말미에 기록된 문자열이 남아 있었다고 지적합니다.


이 야옹 공격의 대상이 된 것은 UFO VPN의 데이터베이스만이 아닙니다. 현재까지 야옹 공격을 받은 데이터베이스는 Elasticsearch과 MongoDB, Apache Cassandra을 포함해 4000여 건 이상에 이릅니다. 디아첸코 씨는 "야옹 공격이 인터넷상에 공개된 안전하지 않은 모든 데이터베이스를 대상으로 하는 것 같다"고 주장하며 야옹 공격은 스크립트에 의한 것으로 추측하고 있습니다.


인터넷에 무방비로 노출되어 버리고 있는 데이터베이스가 악의적인 공격자의 표적이 되는 것은 드물지 않지만, 일반적으로 랜섬웨어에 감염시켜 몸값을 청구하거나 내용을 삭제하는 경우가 대부분. 공격자가 이번처럼 "야옹"이라는 말을 남기고 가는 동기는 전혀 알려져 있지 않습니다.


보안 연구자의 Anthr@ X 씨는 야옹 공격이 ProtonVPN을 통해 이루어지고 있었다고 Twitter에서 보고하고 있습니다. 그러나 그외의 공격자의 정보는 알 수 없고 현재 조사가 계속되고 있습니다.


이 수수께끼의 야옹 공격에 대해 디아첸코 씨는 "인터넷의 안전하지 않은 데이터베이스는 쉽게 공격이 가능하고 무방비이므로 악의적인 공격자가 재미삼아 하고 있는 것입니다. 이번 야옹 공격은 사이버위생을 무시하여 고객의 데이터를 한순간에 잃는 산업과 기업에 대해 경종을 울리고 있습니다."라고 말합니다.

Posted by 말총머리
,