브라질에서는 거의 7만 2,000개 가량의 미크로틱 라우터가 코인하이브 사이버 공격 초기 단계에 감염됐다. 이 악성 프로그램은 2018년 4월 처음 탐지됐으며 미크로틱 라우터의 윈박스(Winbox) 구성 요소 취약점을 이용했다. 라우터 및 컴퓨터 네트워킹 장비를 제조하는 라트비아 기반 회사인 미크로틱은 적시에 패치를 보급했지만 모든 사용자가 이 패치를 자신이 사용하는 미크로틱 라우터에 설치하지는 않았다. 보안 전문가들의 연구 결과 이 취약점 및 PoC 코드가 깃허브(GitHub)의 다른 위치에서도 드러났다.
PoC 코드 중 하나가 미크로틱 라우터를 통과하는 트래픽을 변경하고 라우터를 통해 제공되는 모든 페이지에 코인하이브 라이브러리 복사본을 제공했다. 사이버 보안 전문가들은 공격의 배후가 해커 단 한 명일 것이라고 말했다. 그 이유는 단 하나의 코인하이브 키가 모든 감염 공격에 사용됐기 때문이다. 브라질에서는 미크로틱의 제품이 아닌 기기도 이 멀웨어의 영향을 받았다.
이 공격은 브라질에서 처음 발견되었으나 곧 국경 너머로 퍼졌으며 전 세계 약 17만 5,000개 가량의 미크로틱 라우터가 영향을 받은 것으로 보인다. 전문가들에 따르면 코인하이브 멀웨어는 이미 2만 5,000개 이상의 추가 라우터에 영향을 미쳤고 이에 따라 영향을 받은 미크로틱 라우터는 약 20만 개로 늘어났다. 추가 공격이 동일한 해커에 의해 실시된 것인지는 확실하지 않다.
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지