2024-03-28 22:20 (목)
해커들, 미크로틱 제로데이 취약점 사용해 라우터 20만대 공격
상태바
해커들, 미크로틱 제로데이 취약점 사용해 라우터 20만대 공격
  • 길민권 기자
  • 승인 2018.08.03 18:39
이 기사를 공유합니다

공격자, 라우터에 코인하이브 스크립트 주입해 가상화폐 채굴에 활용

dark-3123582_640.jpg
전 세계의 미크로틱 라우터들을 타깃한 대규모 크립토재킹 캠페인이 발견됐다. 트러스트웨이브(Trustwave) 보고서에 따르면, 이 캠페인의 배후에 있는 해커는 총 20만대 이상의 미크로틱 라우터를 공격했다고 밝혔다.

이 기업 연구원들은 "해커가 지난 4월 발견 된 미크로틱 라우터의 윈박스(Winbox) 컴포넌트에 존재하는 제로데이를 사용했다"며 "미크로틱은 이 제로데이를 하루 만에 패치했지만, 모든 라우터 사용자들이 이 패치를 적용하지는 않았을 것"이라고 우려했다.

이후 여러 연구원들이 이 제로데이를 분석했으며, 공개 PoC 코드가 깃허브(GitHub)에 에 공개 되었다.

공격자들은 이 PoC들 중 하나를 사용해 미크로틱 라우터를 통과하는 트래픽을 변경하고 라우터를 통해 제공 되는 모든 페이지에 가상화폐를 채굴하는 코인하이브 라이브러리의 복사본을 주입했다.

연구원들은 미크로틱이 아닌 다른 라우터 사용자들도 영향을 받은 사례를 발견했다고 밝혔다. 이는 브라질의 일부 ISP들이 메인 네트워크에 미크로틱 라우터를 사용했기 때문에, 공격자가 대량의 웹 트래픽에 악성 코인하이브 코드를 주입할 수 있었던 것으로 보인다.

또한 연구원들은 이 공격의 수행 방식 때문에 주입이 사용자에게로 향하는 트래픽에만 동작한 것이 아니라 양쪽 모두에서 동작했다고 밝혔다. 예를 들면, 한 웹사이트가 영향을 받는 미크로픽 라우터 뒤쪽의 로컬 네트워크에서 호스팅 될 경우 해당 웹사이트로 향하는 트래픽 또한 코인하이브 라이브러리가 삽입 된다는 것이다.

너무 많은 트래픽에 코인하이브를 주입할 경우 매우 시끄럽고 사용자의 짜증을 유발해 사용자들과 ISP 측에서 문제의 원인을 조사하려 할 수 있다. 실제로 한 Reddit 사용자는 문제를 발견해 이를 공개했다.

공격자는 이러한 문제 해결을 위해 최근 공격에서부터는 라우터에서 리턴되는 에러 페이지에만 코인하이브 스크립트를 주입했다.

하지만 공격의 표면을 축소시키는 것이 공격 전체를 축소시키는 것은 아니었다. 연구원들은 이 공격이 브라질 외부로 확산되기 시작해 초기 감염 숫자의 2배 이상인 17만대 이상의 미크로픽 라우터를 감염 시켰다고 밝혔다.

한편 쇼단(Shodan) IoT 검색 엔진의 쿼리를 통해 확인 결과, 온라인에는 170만개 이상의 미크로틱 라우터들이 존재하는 것으로 나타났다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★