새로운 봇넷이 한 달 이상 어두운 그림자를 드리우면서 많은 사람들이 또 다른 사이버 공격을 우려하고 있다. 이 봇넷은 보안이 적용되지 않은 아파치 하둡(Apache Hadoop)의 서버를 대상으로 하고 있으며 이 영역에 봇을 심어 해당 서버가 향후 디도스(DDoS) 공격에 취약해지도록 만든다. 이런 하둡 클러스터, 특히 클라우드 기반 서버를 인수하도록 설계된 클러스터는 이런 봇넷과 같은 멀웨어의 위협을 받고 있다.
이 봇넷의 이름은 데몬봇(DemonBot)이라고 한다. 뉴스카이 시큐리티(NewSky Security)의 연구원이 허니팟 데이터에서 처음으로 이것을 발견했다. 이 봇넷은 새로운 위협이었으며, 이제는 처음 발견 당시보다 훨씬 더 큰 위협이 됐다. 봇넷의 도달 범위가 확대됐기 때문이다. 처음에 이 봇넷은 몇 개의 명령 및 제어 서버로 구성됐지만 사이버 보안 회사인 라드웨어(Radware)에 따르면 봇넷이 현재 70개 이상의 서버로 성장했다고 한다.
라드웨어는 이와 관련해 경고하는 내용을 발표했다. 이 멀웨어는 하둡 YARN 원격 명령 실행을 잘못 구성해 하둡 클러스터를 감염시키는 방법을 사용한다. 라드웨어는 이 봇넷이 하둡 서버의 주요 영역들에만 퍼져 있으며 상당히 악질이라고 설명했다.
YARN(Yet Another Resource Negotiator)은 모든 아파치 하둡 데이터 처리 네트워크의 핵심 구성 요소이며 클라우드 컴퓨팅 서비스와 관련해 대기업에서 자주 사용되는 요소다. 라드웨어는 데몬봇이 너무 커져서 하루에 100만 건 이상의 YARN 공격을 시도한다고 밝혔다. 라드웨어의 사이버 보안 전문가 파스칼 기넨스는 "불행히도 우리는 실제 봇을 상대하는 것이 아니다. 이 봇들은 스캐닝이나 실제 공격을 가하는 것이 아니다. 그렇기 때문에 아무런 움직임이나 소음을 발생시키지 않고, 따라서 우리는 이 봇을 탐지하거나 매핑할 수 없다"고 말했다.
현재 총 봇넷의 수는 알려지지 않았다. 그리고 아직 밝혀지지 않은 내용이 더 많을지도 모른다. 하둡 YARN의 잘못된 구성은 서버에 공격이 발생하기 적어도 2년 전부터 존재한 것으로 보인다.